— 1 —
N° 4299
——
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
QUINZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 29 juin 2021
RAPPORT D’INFORMATION
DÉPOSÉ
en application de l’article 145 du Règlement
PAR LA MISSION D’INFORMATION ([1])
sur le thème « Bâtir et promouvoir une souveraineté numérique
nationale et européenne ».
ET PRÉSENTÉ PAR
M. Jean-Luc WARSMANN, Président,
et
M. Philippe LATOMBE, Rapporteur,
Députés.
——
TOME I
RAPPORT
La mission d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne » est composée de : M. Jean-Luc Warsmann, président ; Mmes Virginie Duby-Muller, Danièle Hérin, MM. Denis Masséglia, Jean-Michel Mis, vice‑présidents ; M. Philippe Latombe, rapporteur, Mme Valéria Faure-Muntian, M. Philippe Gosselin, Mmes Marietta Karamanli, Amélia Lakrafi, secrétaires ; Mme Laetitia Avia, MM. Xavier Batut, Éric Bothorel, Moetai Brotherson, Mmes Frédérique Dumas, Paula Forteza, MM. Thomas Gassilloud, Bastien Lachaud, Christophe Lejeune, Mme Marion Lenne, MM. Philippe Michel-Kleisbauer, Jérôme Nury, Pierre Person, Pierre-Alain Raphan, Mme Nathalie Serre, membres.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
— 1 —
SOMMAIRE
___
Pages
AXE 1 : GARANTIR LA Résilience DE NOS INFRASTRUCTURES
AXE 2 : FAIRE CONFIANCE A NOS ENTREPRISES TECHNOLOGIQUES
AXE 3 : METTRE LA SOUVERAINETÉ NUMÉRIQUE AU cœur DE L’ACTION PUBLIQUE
AXE 4 : METTRE LE CITOYEN AU CŒUR DES POLITIQUES NUMÉRIQUES
PREMIèRE PARTIE : COMPRENDRE LA souverainetÉ numÉrique
I. Une remise en cause de la souverainetÉ des États ?
A. La révolution numérique fait évoluer les prérogatives classiques de l’état
B. la puissance publique est certes concurrencée mais encore « maîtresse à bord »
C. le numérique est désormais Un puissant levier d’influence et de souveraineté pour les états
II. qu’Est-ce que la souveraineté numérique ?
A. une notion polymorphe au cœur du débat politique
1. Une préoccupation récente qui date du milieu des années 2000
2. Un regain d’intérêt dans le contexte de la crise sanitaire
B. Une grande diversité de définitions
1. Trois grands principes pour l’État : liberté de choix, maîtrise technologique et réversibilité
2. Une dimension à la fois défensive et offensive
3. Une ambition à co-construire avec l’ensemble des acteurs nationaux et nos partenaires européens
C. Trois dimensions principales à articuler
1. L’approche juridique : renforcer la capacité de régulation de la puissance publique
2. L’approche économique : soutenir l’émergence d’écosystèmes technologiques compétitifs
D. Plusieurs leviers d’action possibles pour les décideurs publics
III. une absence évidente DE SOUVERAINETé NUMéRIQUE NATIONALE ET EUROPéENNE
B. L’Europe reste dans une situation d’hétéronomie numérique problématique en dépit de ses atouts
1. Une dépendance vis-à-vis des matériaux et composants fondamentaux des équipements numériques
2. L’Europe reste encore un « nain numérique » sur le plan économique
3. Une situation quotidienne de dépendance numérique vis-à-vis d’outils et de services non-européens
4. Une multitude de causes explique cette situation
DEUXIÈME PARTIE : BâTIR UNE SOUVERAINETé NUMéRIQUE NATIONALE ET EUROPéENNE
I. UNE POLITIQUE DE SOUVERAINETé NUMéRIQUE au service des CITOYENS.
A. Créer les conditions de la confiance dans le numérique
1. Répondre à la demande de connectivité des citoyens
a. Une accélération indispensable des déploiements fixe et mobile
b. Une poursuite des déploiements pendant à la crise sanitaire
i. État des lieux des déploiements « fixe »
ii. État des lieux des déploiements mobiles
c. Des progrès indéniables mais des inégalités persistantes à résorber
d. Déployer la 5G sans faire de compromis sur la sécurité
2. Protéger de façon effective les données personnelles des citoyens
a. Des attentes fortes de la population sur la souveraineté des données
b. Un niveau de protection en Europe sans équivalent dans le monde
e. Un nouvel équilibre sur la question de la conservation généralisée des données de connexion
i. Un encadrement croissant par le droit européen
B. Faire du numérique un levier de simplification et d’émancipation individuelle
1. Mettre en place rapidement une identité numérique pour les citoyens
a. Un outil utile pour simplifier et sécuriser la vie numérique des citoyens
c. Un déploiement qui ne doit pas prendre davantage de retard
d. Des interrogations légitimes sur certains choix techniques
e. Des difficultés symptomatiques dont il faut vite tirer les leçons
2. Créer une relation de confiance entre l’administration et les citoyens
a. Mettre en place un guichet unique d’accès à l’ensemble des services publics
b. Créer un identifiant numérique unique pour chaque citoyen
3. Former au numérique tous les citoyens dès le plus jeune âge
a. La maîtrise des savoirs numériques fondamentaux doit être une priorité
b. Un certain retard de la France vis-à-vis de ses partenaires européens
c. L’effort de formation engagé par les pouvoirs publics doit être amplifié
4. Former les salariés aux savoir-faire numériques généraux et avancés
a. Un impératif alors que la France est aussi en retard dans ce domaine
b. Une demande accrue de compétences numériques générales et spécialisées
c. Des pouvoirs publics qui se sont saisis de cette problématique
d. Des domaines de formation à prioriser au regard de leur haut potentiel
ii. L’Intelligence artificielle
II. accÉlÉrer la numÉrisation de toutes les entreprises en valorisant notre ÉcosystÈme technologique
A. Numériser toutes les entreprises pour gagner en compétitivité et en efficacité
3. Des technologies numériques indispensables pour peser dans le monde numérique de demain
4. Certains obstacles persistent pour anticiper les évolutions à venir
B. Soutenir le développement de l’écosystème deeptech français et européen
1. Mobiliser davantage le levier de la commande publique au service de l’innovation
c. Une modification des pratiques d’achat public est indispensable
d. Une évolution du droit de la commande publique national et européen sont également souhaitables
2. Faciliter l’accès de nos deeptech aux financements européens
i. Des progrès incontestables au niveau national
3. Protéger nos « licornes » face aux tentations de prédation
C. développer une culture de la cyberprotection au sein des entreprises
1. Un impératif de vigilance face à l’accroissement de la menace cyber
2. Une prise de conscience à construire avec les entreprises
3. Une prudence nécessaire face au risque croissant d’espionnage économique
III. MOBILISER LA PUISSANCE PUBLIQUE POUR DéFENDRE LA SOUVERAINETé NUMéRIQUE FRANçAISE ET EUROPéENNE
A. La cyberdéfense, composante vitale de notre souveraineté numérique
1. Une ambition nationale qui doit s’appuyer sur l’échelon européen
2. Une politique nationale de cyberdéfense en phase de consolidation
3. Un impératif : rester parmi les puissances « cyber » de rang mondial
4. Les leviers d’une cyberdéfense efficace
a. Adapter les moyens budgétaires face à l’accroissement de la menace
b. Conserver une autonomie technologique maximale au sein des activités sensibles
d. Renforcer l’attractivité des métiers de la cyberdéfense
B. RéUSSIR UNE transformation numérique RAPIDE ET SOUVERAINE des administrations publiques
2. Des progrès incontestables ont été réalisés depuis 2011
3. Des réformes indispensables pour garantir un pilotage efficace des politiques numériques
a. La création d’un véritable ministère du numérique
b. Une meilleure association des collectivités territoriales et du Parlement
c. Une montée en gamme nécessaire des compétences et méthodes de gestion des projets numériques
4. Une ambition de souveraineté qui implique des choix ambitieux
a. Faire du recours au logiciel libre un principe effectif au sein des administrations publiques
C. Une capacité d’anticipation à consolider pour assurer notre autonomie stratégique
2. L’Intelligence artificielle
1. La relocalisation et le développement du hardware sur le sol européen
a. L’existence d’une dépendance européenne en matière de hardware
b. Les moyens de limiter la dépendance industrielle pour le hardware
ii. Défendre une stratégie de relocalisation de l’industrie du hardware
iii. Limiter les prises de contrôle capitalistiques par des acteurs étrangers
2. La question de la localisation des données sur le sol européen
B. Mobiliser l’échelon européen au service de la régulation des géants du numérique
1. Un puissant besoin de régulation des activités des géants du numérique
a. L’encadrement des gatekeepers par le Digital Markets Act (DMA)
b. La régulation des contenus en ligne avec le Digital Services Act (DSA)
c. La création d’un marché unique des données avec le Digital Governance Act (DGA)
C. Défendre un modèle européen du numérique, fondé sur les droits fondamentaux
1. Une volonté commune de tracer une troisième voie
2. L’existence persistante de modèles de souveraineté divergents
3. La nécessité de s’accorder sur des valeurs partagées et de les diffuser
LISTE thÉmatique des propositions
I. CONSTRUIRE DANS LE TEMPS LONG un cyberespace français et européen sûr et fiable.
A. Assurer la CAPACITÉ DE RÉSILIENCE de nos infrastructures numériques.
B. Promouvoir une culture collective de la cyberprotection.
3. Citoyens – usagers du numérique.
C. Conserver des capacités de cyberdéfense autonomes.
D. Défendre notre puissance normative nationale et européenne.
II. FAIRE DE L’UNION EUROPÉENNE UNE PUISSANCE NUMÉRIQUE AUTONOME ET INDÉPENDANTE
A. Faire de l’Europe un leader des technologies numériques.
1. Tout faire pour « être dans la course » des technologies numériques.
2. Assumer une ambition européenne forte en matière de numérique.
3. Convertir l’Union européenne aux enjeux de souveraineté économique.
B. soutEnIR NOS ENTREPRISES TECHNOLOGIQUES ET DÉVELOPPER Les compétences numériques des citoyens
1. Créer les conditions de la croissance de notre écosystème « tech »
2. Développer les compétences numériques des citoyens français.
C. Assumer une ambition numérique forte au sein de l’action publique.
1. Défendre des politiques numériques ambitieuses et efficaces
2. Renforcer la compétence numérique de l’administration française
3. Garantir l’exemplarité de l’État dans ses usages numériques
4. Simplifier la vie des citoyens grâce au numérique
D. Faire de la commande publique un véritable levier de souveraineté.
1. Faire de nos entreprises « tech » le cœur de cible de la commande publique.
2. Faire évoluer, à moyen terme, le droit national et européen de la commande publique
TRAVAUX DE LA MISSION d’information
I. point d’étape des travaux au 16 mars 2021
II. examen PAR La mission d’information
LISTE DES PERSONNES AUDITIONNÉES
— 1 —
La crise sanitaire que nous avons vécue a fait la démonstration de la formidable dépendance de la France et de l’Europe vis-à-vis des solutions et matériels numériques non européens. Les outils utilisés afin de poursuivre une activité à distance ont été, dans leur grande majorité, américains. Au même moment, nombre de problématiques numériques ont refait surface, de la protection des données de santé aux enjeux de cyber-sécurité, face aux attaques informatiques qui ont notamment touché des collectivités territoriales et des structures de soins. Dans ce contexte compliqué, la question de la souveraineté numérique est réapparue avec force. La France et l’Europe doivent en faire la priorité de leurs politiques pour répondre à la demande de protection des citoyens, de compétitivité des entreprises, et, enfin, à une double exigence d’efficacité et de transparence des institutions publiques.
Dans ce contexte, le groupe MODEM a demandé et obtenu la création d’une mission d’information pour s’attacher aux conditions et moyens pour « Bâtir et promouvoir une souveraineté numérique nationale et européenne. »
La mission d’information, qui a tenu quatre-vingt-trois auditions, pendant plus d’une centaine d’heures, a ordonné celles-ci selon plusieurs thématiques, dans l’intention de faire suivre chaque constat de propositions opérationnelles :
– la base industrielle – industrie électronique et industrie du numérique, infrastructures – dont l’appréciation objective de la situation permet de mesurer la dépendance qu’il convient de réduire et le réalisme des objectifs à atteindre ;
– la compétitivité des entreprises, différentes autant par leur spécialisation que par leur taille, mais qui, toutes, évoluent dans un monde où la concurrence globale amplifie l’impact de leurs atouts comme de leurs handicaps ;
– la capacité des acteurs publics à piloter aussi bien les politiques de numérisation des administrations – leurs procédures, les relations avec leurs agents, leurs usagers et leurs fournisseurs – que les politiques de soutien à l’écosystème et aux filières d’avenir ;
– la compréhension des enjeux de la cybersécurité et de la mobilisation qu’ils requièrent de la part de tous, ce qui va bien au-delà des seules missions régaliennes ;
– l’impératif de la formation, dans toutes ses dimensions : de l’école à l’université, de la culture générale du numérique à la recherche de pointe, de l’utilisation des outils du quotidien à la maîtrise des algorithmes ;
– le rôle de l’Europe comme puissance normative, scientifique et économique, sans perdre de vue la dimension géopolitique qui interroge la possibilité d’un modèle numérique européen.
Votre rapporteur a tenu à hiérarchiser, selon l’urgence d’agir, les propositions découlant du constat sans fard auquel il s’est astreint, ce qui l’a conduit à définir quatre axes de propositions :
– premier axe : garantir la résilience de nos infrastructures ;
– deuxième axe : faire confiance à nos entreprises technologiques ;
– troisième axe : mettre la souveraineté numérique au cœur de l’action publique ;
– quatrième axe : mettre le citoyen au cœur des politiques numériques.
Votre rapporteur tient à remercier le président Jean-Luc Warsmann pour sa présidence attentive, l’ensemble de ses collègues qui ont participé aux travaux de la mission et toutes les personnes qui ont accepté d’être auditionnées pour leur approche, leur compréhension de la souveraineté numérique nationale et européenne, et pour la volonté d’action persévérante qu’ils ont tous appelée de leurs vœux, action dont dépend la faculté pour la France et ses partenaires européens de tenir leur rang – un rang à la mesure de leurs capacités – dans le monde et à l’âge numériques.
AXE 1 : GARANTIR LA Résilience DE NOS INFRASTRUCTURES
Ambition n° 1 : Garantir la sécurité de nos réseaux
Proposition n° 2 : Renforcer les contrôles mis en œuvre par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) sur la qualité du déploiement des réseaux fixes (page 42).
Proposition n° 3 : Maintenir une exigence maximale de sécurité vis-à-vis des déploiements 5G (page 43).
Ambition n° 2 : Faire face l’accroissement réel de la menace cyber
Proposition n° 1 : Créer un « comité numérique de crise » réunissant les opérateurs, les grands acteurs du numérique et les pouvoirs publics en cas de difficulté majeure sur les réseaux numériques (page 40).
Proposition n° 19 : Former les citoyens aux gestes-barrières face au risque cyber (page 66).
Proposition n° 40 : Accélérer la mise à niveau des équipements numériques des collectivités territoriales et des structures de soins pour garantir leur résilience (page 120).
Ambition n° 3 : Assumer le coût de notre souveraineté numérique
Proposition n° 34 : Augmenter les moyens financiers et les effectifs de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour répondre à la croissance de la menace cyber (page 109).
Proposition n° 35 : Consentir un engagement financier inédit à destination des acteurs de la protection numérique au sens large, c’est-à-dire la plateforme Pharos, le groupement d’intérêt public Action contre la Cybermalveillance (ACYMA) et le parquet national cyber (page 109).
Proposition n° 39 : Veiller à ce que la trajectoire définie au sein de la loi de programmation militaire pluriannuelle soit en adéquation avec l’état de la menace et le niveau d’ambition porté par la France dans ce domaine (page 119).
Proposition n° 41 : Appliquer une doctrine de l’autonomie technologique maximale en matière de renseignement et de cyberdéfense en faisant du recours à des technologies extra-européennes une exception devant être motivée (page 122).
AXE 2 : FAIRE CONFIANCE A NOS ENTREPRISES TECHNOLOGIQUES
Ambition n° 4 : Faire de nos entreprises technologiques une priorité nationale
Proposition n° 26 : Privilégier, en matière de commande publique, le recours aux solutions d’acteurs technologiques français ou européens (page 98).
Proposition n° 27 : Exiger de l’Union des groupements d’achats publics (UGAP) des délais raisonnables dans le traitement des demandes de référencement des acteurs de l’offre numérique française (page 98).
Proposition n° 31 : Renforcer le soutien public à destination de la French Tech, pour encourager ses membres à « chasser en meute » (page 100).
Ambition n° 5 : Accélérer les projets européens de « reconquête » numérique.
Proposition n° 57 : Garantir au sein de Gaia-X une gouvernance et une conduite de projets conformes aux ambitions exprimées par ses membres fondateurs afin d’éviter que cette initiative ne devienne un instrument au service de la croissance d’acteurs déjà dominants (page 160).
Proposition n° 58 : Accélérer le déploiement d’une constellation européenne de satellites en orbite basse (page 162).
Proposition n° 60 : Renforcer les moyens mis en œuvre dans le cadre des projets importants d’intérêt européen commun (PIEEC) et adopter à chaque reprise des calendriers ambitieux de déploiement (page 164).
AXE 3 : METTRE LA SOUVERAINETÉ NUMÉRIQUE AU cœur DE L’ACTION PUBLIQUE
Ambition n° 6 : Faire de l’État le moteur d’une politique de souveraineté numérique assumée.
– Défendre cette ambition au plus haut niveau de l’État
Proposition n° 45 : Créer un ministère du numérique, doté d’une administration et de moyens propres, et chargé de porter les politiques numériques aux niveaux national, européen et international (page 133).
Proposition n° 46 : Mettre en place un briefing hebdomadaire du Président de la République sur les questions technologiques en s’inspirant du modèle américain (page 133).
Proposition n° 65 : Mettre le numérique au cœur de la présidence française de l’Union européenne au premier semestre de l’année 2022 (page 178).
– Faire évoluer rapidement les pratiques de l’administration
Proposition n° 13 : Favoriser la circulation des compétences numériques au sein du secteur public (page 62).
Proposition n° 52 : Imposer au sein de l’administration le recours systématique à des solutions numériques françaises lorsque leur niveau de performance est satisfaisant pour les usages concernés (page 138).
Proposition n° 53 : Imposer au sein de l’administration le recours systématique au logiciel libre en faisant de l’utilisation de solutions propriétaires une exception (page 138).
AXE 4 : METTRE LE CITOYEN AU CŒUR DES POLITIQUES NUMÉRIQUES
Ambition n° 7 : Simplifier la vie des citoyens grâce au numérique.
Proposition n° 10 : Accélérer le déploiement de l’identité numérique en France (page 59).
Proposition n° 17 : Développer une culture de la transparence vis-à-vis des données utilisées par la puissance publique dans le cadre de ses interactions avec les citoyens (page 65).
Proposition n° 50 : Créer un portail public rassemblant l’ensemble des offres numériques françaises disponibles (page 135).
Proposition n° 15 : Créer un guichet numérique unique d’accès de chaque citoyen à l’ensemble des services publics, lui permettant aussi d’être informé en temps réel de l’utilisation de ses données par l’administration (page 63).
Proposition n° 16 : Créer un numéro d’identification unique afin de mettre fin aux difficultés que rencontrent les administrations pour identifier les administrés et partager leurs informations de façon efficace (page 65).
Ambition n° 8 : Se donner les moyens de protéger leurs données personnelles
Proposition n° 5 : Renforcer les effectifs de la commission nationale de l’informatique et des libertés (CNIL) dans le cadre du projet de loi de finances pour 2022 (page 47).
Proposition n° 6 : Simplifier le processus de sanction mise en œuvre par la commission nationale de l’informatique et des libertés (CNIL) au sein des dossiers de moyenne et de faible intensité afin de renforcer sa capacité à prononcer les « mesures correctrices » prévues par le RGPD (page 47).
Proposition n° 7 : Intégrer de façon systématique au sein des arbitrages techniques des projets numériques les enjeux ayant trait à la souveraineté numérique, en particulier concernant la protection des données personnelles et la localisation des données en Europe (page 50).
— 1 —
PREMIèRE PARTIE : COMPRENDRE LA souverainetÉ numÉrique
I. Une remise en cause de la souverainetÉ des États ?
A. La révolution numérique fait évoluer les prérogatives classiques de l’état
La « révolution numérique » transforme en profondeur nos sociétés, en faisant émerger de nouveaux usages et de nouveaux rapports entre les citoyens. Cette rupture est incontestable et incontestée, bien qu’elle échappe en partie aux efforts mis en œuvre pour la définir. On parle ainsi tantôt de « révolution numérique » ([2]) , tantôt d’une nouvelle « ère numérique, nouvel âge de l’humanité » ([3]) , ou encore de l’émergence d’un « âge de la multitude » ([4]). Certains parlent même d’un « nouveau désordre numérique » ([5]) lorsqu’il s’agit de pointer les évolutions à l’œuvre et la façon dont elles bouleversent les équilibres établis. Force est de constater, néanmoins, que ces différentes tentatives peinent à appréhender cet ensemble de changements profonds qui affectent la société dans son ensemble.
Quelques éléments souvent rappelés en donnent toutefois une idée assez fidèle : la révolution numérique se traduit par la facilitation et l’accélération inédite de la circulation de l’information, le dépassement des frontières physiques par le cyberespace, l’émergence de nouveaux objets et usages et, in fine, la construction d’un nouveau système d’échanges économiques et symboliques qui accorde une place inédite à l’individu-usager de services numériques.
Cette révolution technologique ne saurait évidemment épargner les États, qui se sont historiquement construits comme régulateurs monopolistiques de la vie en société, et définissent leur puissance, c’est-à-dire leur souveraineté, comme l’exercice d’un pouvoir normatif autonome sur une population dans un territoire donné délimité par des frontières.
Selon une acception largement partagée, le numérique viendrait remettre en cause, en profondeur, la souveraineté des États. La célèbre déclaration d’indépendance du cyberespace de John Perry Barlow, en 1996 souvent citée, en démontrerait l’intention : « Gouvernements du monde industriel, vous géants fatigués de chair et d’acier, je viens du Cyberespace, le nouveau domicile de l’esprit (…). Vous n’êtes pas les bienvenus parmi nous. Vous n’avez pas de souveraineté où nous nous rassemblons. » ([6]) . La puissance publique se verrait ainsi progressivement dépossédée de ses prérogatives les plus essentielles, comme le fait de battre monnaie, d’être capable de soumettre à l’impôt les activités économiques, ou encore de réguler les contenus pour préserver la société des propos haineux et de la violence. Le caractère transnational des géants du numérique et leur poids économique en feraient, en outre, des acteurs intouchables s’imposant sur un nombre croissant de marchés, face à une puissance publique en recul et incapable de les réguler, faute d’outils adaptés et de moyens de faire prévaloir ses règles au sein de l’espace numérique.
B. la puissance publique est certes concurrencée mais encore « maîtresse à bord »
Les travaux de la mission d’information font apparaître une réalité plus nuancée quant à l’impact réel du numérique sur l’exercice par l’État de sa puissance souveraine.
Il est difficilement contestable, certes, que le numérique interroge la souveraineté des États, dans la mesure où il vient travailler en profondeur le périmètre et les modalités de leur action au sein des frontières nationales, dont la portée apparaît plus réduite dans le cyberespace que dans le monde réel. Cette situation a été souvent rappelée lors des auditions, par exemple celle de M. Nicolas Brien, directeur général de France Digitale, qui estime que nous vivons, à l’heure actuelle, « un moment « Compagnie des Indes orientales », en référence au fait que, pour découvrir, exploiter et réguler le Nouveau monde, « des acteurs privés se sont par le passé dotés d’attributs régaliens ». Comme le relève M. Nicolas Brien, avec « l’émergence des géants technologiques, notamment américains, les États n’ont plus le monopole des attributs régaliens de la souveraineté comme le cadastre, le fait de battre monnaie, le monopole de la violence physique légitime, l’état civil. Il est de notoriété publique que le fisc grec préfère aujourd'hui utiliser Google Maps plutôt que son propre cadastre […] [ou] que Facebook détient davantage de photos d’identité de chacun d’entre nous que n’importe quel service de renseignement » ([7]) .
Deux phénomènes nourrissent cette dynamique, comme l’a rappelé M. Julien Nocetti, docteur en sciences politiques, chercheur associé à l’Institut français des relations internationales, lors de son audition ([8]) :
– un premier phénomène « de dépeçage des prérogatives souveraines des États » par les géants américains « GAFAM » et chinois « BATX », qui se traduit, par exemple, par le fait que « sur le plan monétaire, le projet Libra porté par Facebook pourrait, à terme, prendre de vitesse l’Union africaine dans son ambition de relier les États africains par le biais d’une monnaie unique » pour ne citer que cet exemple ;
– un second phénomène de « déspatialisation » qui vient affecter, notamment, « notre manière de penser les relations internationales et la géopolitique [qui] repose [originellement] sur l’idée d’espace, de frontière, de territoire », alors qu’il existe déjà « une réalité du rapport de pouvoir dématérialisé, qu’il est très difficile de juridiciser ».
Ce constat, qui repose sur des éléments factuels indiscutables, doit néanmoins être nuancé en raison de son approche très stato-centrée. En effet, si ce dernier, en tant qu’acteur public central, perçoit légitimement cette concurrence comme remettant en cause certaines de ses prérogatives, il convient d’observer, d’une part, qu’il reste à l’heure actuelle encore largement « maître à bord » en ce qui concerne ses missions fondamentales ([9]) et, d’autre part, que le numérique est un vecteur puissant de transformation et d’efficacité que l’État entreprend de mobiliser à son avantage. La « perte » de souveraineté de l’État peut donc se traduire par des gains d’efficacité au profit des citoyens, mais aussi de l’État lui-même, qui fait évoluer ses modes d’intervention vers un meilleur partage entre ce qu’il est capable de faire et ce qu’il convient de déléguer à des acteurs spécialisés.
Aussi, la question de la souveraineté numérique doit-elle moins être pensée en termes de « gains » et de « pertes » qu’en termes de redistribution de la puissance d’action des acteurs publics et privés au sein de l’espace numérique et physique. Il est donc important, sur ce sujet, de faire « la part des choses » entre les nombreux apports du numérique, la nécessité de trouver de nouveaux équilibres satisfaisants dans une sphère numérique où les règles de fonctionnement sont différentes, et les interdits et missions dont l’État doit conserver impérativement la compétence pour protéger les intérêts nationaux et les droits fondamentaux des citoyens.
C. le numérique est désormais Un puissant levier d’influence et de souveraineté pour les états
Pour votre rapporteur, la façon d’appréhender la question de la souveraineté numérique doit donc être inversée : le numérique ne vient pas remettre fondamentalement en cause la souveraineté des États, il rebat simplement les cartes des relations de pouvoir entre ces derniers au niveau international et constitue un puissant levier d’influence à court et moyen terme. Les tensions entre les États-Unis et la Chine en matière d’approvisionnement en semi-conducteurs, question critique, ou la fermeture du marché chinois à des géants américains comme Facebook ou Twitter par exemple, sans oublier de mentionner, pour l’Union européenne, la mise en place du règlement général sur la protection des données (RGPD), constituent autant d’exemples de la dimension profondément politique et géopolitique de cette question.
Votre rapporteur est convaincu que l’enjeu est désormais moins de s’interroger sur l’évolution des prérogatives classiques de l’État, que sur la façon dont la France peut, dans un contexte où l’autonomie absolue est impossible, maximiser ses atouts et réduire ses dépendances, en s’appuyant sur le levier de puissance que constitue aussi l’Union européenne.
C’est cette approche que, pour son caractère pragmatique et opérationnel, les membres de la mission d’information ont choisi de retenir dans leurs travaux, en interrogeant l’ensemble des différentes couches du numérique :
– le hardware, c’est-à-dire les infrastructures numériques, incluant les réseaux et les centres de données, les fibres optiques transocéaniques, IXP (Internet Exchange Points – centres d’interconnexion entre réseaux des différents opérateurs) et les équipements informatiques, incluant les serveurs et les systèmes d’exploitation (qui sont hébergés dans les centres de données) ;
– et le software, c’est-à-dire l’ensemble des applications et/ou logiciels utilisés.
Votre rapporteur relève d’ailleurs l’existence d’une interaction croissante entre ces deux couches, via la virtualisation des réseaux par exemple, qui doit être prise en compte, bien qu’elle complexifie évidemment encore davantage l’appréhension de ce que pourrait être une « politique » de la souveraineté numérique nationale et européenne.
Le cyberespace : quelle définition ?
Dans son glossaire, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) définit le cyberespace comme un « espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisés de données numériques ». Ce dernier peut également être appréhendé par son contenu : il rassemble en effet « l’ensemble des données numérisées (logiciels et documents textuels, sonores, graphiques ou visuels) disponibles sur l’Internet et les infrastructures matérielles et logicielles qui leur confèrent l’ubiquité. » ([10]) .
Le numérique peut être décrit suivant un modèle en quatre couches :
– une couche physique : les infrastructures, fibres optiques transocéaniques, IXP (Internet Exchange Points – centres d’interconnexion entre réseaux des différents opérateurs) … ;
– une couche commande et contrôle (C&C) : le DNS (Domain Name System – système des noms de domaines), les tables et les protocoles de routage, les logiciels qui les implémentent ;
– une couche logique : les données publiées, les logiciels qui permettent d’y accéder et de les transformer : serveurs Web, moteurs de recherche, navigateurs, CDN (Contents delivery networks – réseaux de diffusion de contenus), systèmes de chiffrement … ;
– une couche cognitive : l’esprit et l’intellection des internautes organisés par la sémantique et la syntaxe des interfaces d’accès à la couche logique.
Source : Laurent Bloch, L’Internet, vecteur de puissance des États-Unis, géopolitique du cyberespace, nouvel espace stratégique, Éditions Diploweb, mars 2017.
II. qu’Est-ce que la souveraineté numérique ?
La souveraineté numérique constitue d’abord et avant tout une ambition politique forte, celle d’une autonomie stratégique à conquérir de la France et de l’Europe en matière d’équipements et de technologies numériques. Les nombreuses auditions menées ont fait apparaître qu’il existe une grande variété de définitions de la souveraineté numérique. Plusieurs approches possibles se dégagent des travaux conduits, qu’il convient d’articuler pour aborder les enjeux juridiques, économiques, et culturels d’une véritable politique de la souveraineté numérique.
A. une notion polymorphe au cœur du débat politique
1. Une préoccupation récente qui date du milieu des années 2000
Les premières réflexions françaises sur la question de la souveraineté numérique datent du milieu des années 2000, avec la publication dès 2006 d’une contribution de MM. Bernard Benhamou et Laurent Sorbier dans la revue Politique étrangère ([11]) . Comme le rappelle Mme Pauline Türk, professeur de droit public, dans son article « Définitions et enjeux de la souveraineté numérique », l’apparition du concept de « souveraineté numérique » est néanmoins souvent associée à la publication par M. Pierre Bellanger, d’un ouvrage portant explicitement ce titre, La souveraineté numérique, en 2014 ([12]) . Cette même année, l’organisation d’Assises consacrées à ce sujet débouchait d’ailleurs sur la création d’un Institut de la souveraineté numérique, association chargée de nourrir le débat public et la réflexion des décideurs via la publication de Cahiers de la souveraineté numérique. Lors de son audition, M. Bernard Benhamou, secrétaire-général de cet institut, s’est d’ailleurs réjoui de voir que « le thème de la souveraineté numérique est devenu plus familier, parce qu’il est abordé quasiment quotidiennement dans la presse », alors que « tel n’était pas le cas à l’époque [de la création de cet institut] » ([13]) .
2. Un regain d’intérêt dans le contexte de la crise sanitaire
L’émergence dans le débat public du thème de la « souveraineté numérique » reste relativement récente, comme l’ont rappelé plusieurs des acteurs auditionnés. Ainsi, Mme Karine Picard, directrice générale d’Oracle France, a-t-elle relevé qu’Oracle, société américaine qui fait partie des cinq grandes sociétés qui fournissent des clouds dans le monde faisait aujourd’hui « face à une montée de la souveraineté, pas uniquement en France. Nous le constatons depuis cinq ans dans plusieurs pays, même en Angleterre. Même s’il est extrêmement proche des États-Unis, ce pays est très souverain en ce qui concerne ses données. Nous observons une même émergence en Allemagne, en France, dans les pays du Nord, au Moyen-Orient. Cette résurgence de la souveraineté n'est pas nouvelle. Depuis de nombreuses années, en tant qu’éditeurs américains, nous avons pris conscience de cette demande. » ([14]) . Sur le sujet du cloud et des solutions souveraines, lors de la même audition, Mme Servane Augier, directrice générale déléguée de 3DS OUTSCALE, avait abondé en ce sens au sujet des offres cloud « souveraines » estimant qu’aujourd’hui « après avoir été pas mal galvaudé, voire un peu tabou pendant quelques temps, le mot revient fortement. Après la promulgation du Cloud Act en 2018 et après que le confinement a révélé que la France et l’Europe étaient dépendantes de beaucoup de continents sur de nombreux sujets, dont le numérique, il est très important et très agréable, pour nous qui apportons des solutions souveraines, de voir que le sujet revient sur le devant de la scène et que les entreprises et les administrations se mobilisent pour essayer de faire en sorte que les offres souveraines existent et perdurent » ([15]) .
Cette ambition politique a en effet longtemps été considérée comme peu réaliste voire anachronique, dans un monde ouvert et alors que le numérique dépasse évidemment largement le cadre des frontières nationales. C’est au fond tout le sens de l’interrogation de notre collègue, M. Pierre-Alain Raphan, lors d’une audition sur la blockchain, le 27 avril 2021 : « dans ces auditions, nous parlons de gouvernance, nous essayons de réfléchir à un système de gouvernance, mais finalement, ces systèmes numériques sont-ils gouvernables ? Peut-on réguler un espace qui n’a pas de frontières sans une gouvernance globale qui serait partagée par l’ensemble des usagers et des utilisateurs ? Est-ce une utopie ? Peut-on avoir une gouvernance sur un territoire donné qui serait l’Europe, mais qui n’aurait pas forcément les mêmes objectifs que les autres régions du monde ? »
La crise sanitaire et la situation de forte dépendance numérique des pays membres de l’Union européenne ont donné une actualité nouvelle à cette interrogation dans un contexte où, d’une part, certains pays asiatiques ont largement utilisé le numérique pour suivre leurs citoyens, avec des enjeux éthiques évidents, et où, d’autre part, il a fallu réfléchir à la mise en place d’un passeport sanitaire européen. La Commission européenne est à l’origine, le 17 mars 2021, de la création d’un certificat européen intégrant une preuve de vaccination, un résultat de test négatif ou une preuve de rétablissement du Covid depuis moins de six mois. L’approbation définitive de cette proposition par le Parlement européen, le 8 juin 2021, rend ce certificat obligatoire, à partir du 1er juillet, pour les déplacements dans l’espace européen ([16]) .
Ces dernières années, de nombreuses publications sont intervenues à cet égard, parmi lesquelles plusieurs notes de la Fondation pour l’innovation politique ([17]) ou encore un ouvrage collectif rédigé sous la direction de Mme Pauline Türk et M. Christian Vallor en 2018. En outre, la question de la souveraineté numérique est également présente dans un certain nombre de publications des acteurs institutionnels du secteur, comme l’ARCEP ([18]), le CNNum ([19]) ou l’ANSSI ([20]). Le Parlement, enfin, n’est pas en reste : il s’est saisi de cet enjeu à plusieurs reprises, essentiellement dans diverses missions de contrôle. Plusieurs rapports d’information de l’Assemblée nationale et du Sénat ont approché cette question de façon incidente, quand bien même leur objet ne reprenait pas stricto sensu cette expression. Un rapport sénatorial dédié à la question du « devoir de souveraineté numérique » a été publié en 2019 ([21]) . Ce sujet n’a néanmoins pas fait l’objet d’une traduction concrète sur le plan législatif, bien que la loi pour une République numérique ([22]) ait comporté un article demandant la réalisation d’un rapport visant à instituer un « Commissariat à la souveraineté numérique ». Cette idée a d’ailleurs été finalement abandonnée.
B. Une grande diversité de définitions
Les auditions menées font apparaître une grande diversité de définitions de cette notion, en dépit d’une forme de consensus quant aux éléments fondamentaux qui pourraient sous-tendre une « politique de la souveraineté numérique ».
Au cours de ses travaux, votre rapporteur a souhaité interroger cette notion à travers un ensemble de questions simples, pour en retenir la définition la plus opérationnelle possible :
– Quels sont les grands « principes » que recouvre la notion de souveraineté numérique ?
– Quel peut être le contenu concret de cette politique pour être efficace et réaliste ?
– Quel peut être le juste périmètre d’une politique de la souveraineté numérique ?
1. Trois grands principes pour l’État : liberté de choix, maîtrise technologique et réversibilité
Pour répondre à la question des « principes » de la souveraineté numérique et du contenu d’une telle politique, votre rapporteur souhaite se référer aux propos tenus lors de son audition par M. Nadi Bou Hanna, directeur interministériel du numérique ([23]). Ce dernier avait en effet tracé, à cette occasion, à grands traits, un cadre utile pour penser cette question. Pour M. Bou Hanna, il ne peut y avoir de souveraineté numérique pour la puissance publique, sans :
– la liberté pour la puissance publique d’effectuer librement des choix stratégiques et technologiques en matière de numérique, et donc, en un sens, de choisir également « ses dépendances » ;
– la capacité de la puissance publique à maîtriser ses choix, ce qui implique de disposer « des expertises qui permettent d’évaluer les risques et les solutions ainsi que d’internaliser certaines fonctions ». Comme l’indique M. le directeur interministériel du numérique : « la souveraineté numérique n’est pas possible si une partie des fonctions les plus critiques ne sont pas internalisées » ;
– enfin, corollaire du principe de liberté, la possibilité pour la puissance publique de revenir sur certaines de ses décisions, c’est-à-dire « mettre fin à des projets, changer de prestataire, sans se retrouver de fait pris dans une chaîne de dépendances sur laquelle nous n’avons plus de pouvoir ». Cela correspond de fait au principe de réversibilité.
Ces trois principes sont constitutifs d’une autonomie stratégique de l’État, mais aussi d’une forme de « résilience » indispensable pour « résister aux conséquences d’une crise ou d’une agression et retrouver le plus rapidement possible un fonctionnement normal, même si celui-ci est différent du fonctionnement précédent » ([24]) . Comme l’a précisé Mme Naomi Peres, secrétaire général adjointe pour les investissements d’avenir, lors de son audition ([25]), cette dernière terminologie a été préférée à celle de souveraineté numérique dans le PIA 4, bien qu’elle renvoie davantage au volet défensif de ce concept.
Cette conception peut être déclinée d’une façon similaire au niveau européen, comme l’a rappelé Mme Lorena Boix Alonso, directrice chargée de la stratégie et de la diffusion des politiques à la Direction générale des réseaux de communication, du contenu et des technologies de la Commission européenne, lors de son audition le 19 novembre dernier. Pour cette dernière, la souveraineté numérique est « d’une importance capitale et fait partie d’un concept plus large, celui de la souveraineté stratégique » en ce qu’elle rejoint largement l’enjeu de résilience car « n’importe quelle dépendance, même minime, à l’égard de technologies numériques développées et produites en dehors de l’Union européenne pourrait rendre vulnérables ces différents secteurs de notre économie et de notre société […] [et] mettre en péril non seulement notre économie, mais également notre sécurité, nos valeurs démocratiques et nos droits fondamentaux ». Il est donc indispensable que l’Europe développe « des projets susceptibles d’aboutir à des alternatives européennes dans les technologies et stratégies clés » ([26]) .
2. Une dimension à la fois défensive et offensive
Lors de son audition, M. Thomas Courbe, directeur général des entreprises, a précisé le contenu d’une politique de la souveraineté numérique du point de vue de l’État. Cette dernière comprendrait deux volets, en intégrant à la fois « la capacité [de l’État] à établir les règles qui permettront d’utiliser le numérique, de contrôler les impacts de ses usages et à disposer de l’autonomie sur les principales technologies qui vont conditionner ces usages du numérique » ([27]) .
Au sein de son premier volet, sur la définition de règles, trois éléments revêtent, selon lui, une importance particulière : la sécurité numérique, la protection des données, et, enfin, la régulation des grands acteurs ainsi que des plateformes, structurants dans ce domaine.
Au sein de son second volet, sur la maîtrise technologique, M. Thomas Courbe a mentionné six technologies critiques : les semi-conducteurs et la microélectronique, le super calcul, l’Intelligence artificielle, le cloud et la maîtrise de la donnée, la cybersécurité. Ces six techniques font l’objet de plans dédiés, financés au titre du plan de relance et des investissements d’avenir.
Une politique de la souveraineté numérique comprend donc nécessairement à la fois un volet offensif et défensif.
Son volet défensif s’appuie principalement sur la régulation. La puissance publique doit être en mesure de réguler les acteurs qui évoluent dans la sphère numérique, conformément aux valeurs qu’elle défend. Comme le relève le secrétaire d’État au numérique, M. Cédric O, « une entreprise dont le siège social et le patron sont américains est différente d’une entreprise dont le siège social et le patron sont européens par leur culture, par leur approche de la question des valeurs de l’entreprise et par la capacité d’influence des États » ([28]) . Au niveau européen, l’approche défensive se matérialise ainsi par la proposition de Règlement de la Commission Digital Services Act (DSA), qui vise à une meilleure régulation des contenus en ligne. L’approche défensive implique également de conserver la maîtrise opérationnelle du numérique : en cas de crise, l’État, les administrations, les entreprises et les citoyens doivent toujours avoir accès à leur environnement numérique essentiel. Le développement de la cybersécurité est ainsi, à l’échelle nationale, une composante essentielle du pilier défensif de la souveraineté.
Ce volet défensif comprend également la nécessité de « nous protéger des pratiques commerciales déloyales en appliquant les règles internationales, garantir la réciprocité des accès aux marchés internationaux, lutter contre les effets de distorsion des subventions étrangères dans notre marché unique et […], [d’] adapter le cadre européen de la concurrence pour garantir qu’il réponde aux défis de la transition verte et de la transformation numérique » ([29]) . Il inclut enfin évidemment les outils de protection économique de nos entreprises stratégiques et la réduction du risque extraterritorial.
Son volet offensif implique, en revanche, de développer un écosystème numérique, de manière à favoriser l’éclosion d’entreprises du numérique ayant vocation à devenir des champions mondiaux. Or, à l’heure actuelle, la plupart des grandes entreprises du numérique sont étrangères, à l’image des GAFAM aux États-Unis et des BATX en Chine. Ce volet renvoie donc évidemment aux politiques de financement des acteurs technologiques, aux politiques de recherche et d’innovation, et, enfin, à la capacité de la puissance publique à maintenir un cadre attractif et compétitif pour les acteurs économiques critiques. Du point de vue des opérateurs de communications électroniques français, qui ont été auditionnés, la souveraineté numérique implique d’avoir « des opérateurs solides, des infrastructures fortement déployées, redondantes, accessibles sur l’entièreté du territoire » ainsi que la capacité à travailler « en confiance » avec les autorités sur les différents sujets qui animent le secteur, et donc d’interroger aussi les différences de fiscalité entre ces acteurs et certains acteurs dominants du numérique ([30]).
Un équilibre doit ainsi être trouvé entre un pilier défensif, qui a jusqu’à présent été le principal moyen d’action des institutions nationales et européennes à travers la régulation, et un pilier offensif qui doit prendre de l’ampleur. Ce dernier doit être renforcé en France et dans les États membres de l’Union européenne, de manière à favoriser l’émergence d’un tissu productif d’entreprises technologiques et numériques, vecteur d’innovations.
3. Une ambition à co-construire avec l’ensemble des acteurs nationaux et nos partenaires européens
Quant au périmètre d’une telle politique, deux derniers éléments ressortent des auditions menées par la mission d’information.
Une politique de souveraineté numérique nationale implique nécessairement de mobiliser l’échelon européen. L’Union européenne dispose en effet d’une taille suffisante pour que les tentatives de régulation des acteurs du numérique aient un poids réel et que les entreprises puissent se positionner de façon compétitive sur les différents segments du marché numérique. Cette double nécessité plaide en faveur d’un modèle ouvert d’autonomie stratégique partagée, qui correspond de facto à une « troisième voie » « dans une conception [de cette ambition] qui n’est ni protectionniste, ni hégémonique », comme l’a rappelé M. Henri Verdier, ambassadeur du numérique ([31]) . Ce dernier a insisté à juste raison sur quatre éléments qui semblent décisifs à votre rapporteur pour construire une souveraineté numérique nationale et européenne : la sécurité & la cybersécurité, la puissance de création, une puissance normative maîtrisée, et, enfin, une autonomie des ressources utilisées.
En outre, la souveraineté numérique ne peut être l’apanage des seuls États : les entreprises, notamment grâce aux solutions innovantes qu’elles proposent, et les citoyens, dans leurs usages, doivent participer à cette co-construction. La table-ronde réunissant les différentes associations représentatives des collectivités territoriales a témoigné d’une vraie maturité sur les sujets numériques et d’une volonté de participer à cette co-construction, aussi bien de la part des régions que des départements et des villes. Les acteurs locaux ont ainsi insisté, lors de leur audition sur les « enjeux de sécurité, de résilience, de maîtrise » propre à la question de la souveraineté numérique. Ceci doit être salué ([32]) . Il ne saurait y avoir de souveraineté numérique sans la pleine mobilisation de ces derniers.
Il ressort de ces différents éléments qu’une politique de souveraineté numérique ne peut être envisagée qu’en conjuguant trois dimensions essentielles :
– une approche juridique, pour garantir un cadre protecteur des droits et libertés des citoyens, et réguler l’action des grands acteurs ;
– une approche économique pour stimuler le potentiel d’innovations des acteurs nationaux et encourager la constitution d’écosystèmes compétitifs ;
– et, enfin, une approche libérale ou citoyenne, qui mobilise les citoyens en les sensibilisant aux enjeux politiques de leurs usages.
C. Trois dimensions principales à articuler
1. L’approche juridique : renforcer la capacité de régulation de la puissance publique
La question de la souveraineté numérique doit être appréhendée, d’abord, sous l’angle juridique, ce qui revient à s’interroger sur la capacité de l’État « de n’être obligé ou déterminé que par sa propre volonté » ([33]) . La souveraineté recouvre en effet, selon l’Assemblée générale des Nations-Unies le « droit inaliénable de choisir et de développer son système politique, économique, social et culturel sans aucune forme d’ingérence de la part de n’importe quel État » ([34]) .
Dans cette perspective, promouvoir une forme de souveraineté numérique nationale et européenne revient à défendre la capacité de l’État à imposer ses règles dans l’espace physique et numérique, et à ne pas admettre, sans y consentir, que d’autres règles puissent régir cet espace, que celles-ci émanent d’acteurs privés mais aussi d’autres acteurs publics comme les États. Cette distinction, entre souveraineté numérique interne et externe, a été rappelée par M. Thibaut Douville, professeur des Universités, lors de son audition, cette notion recouvrant à la fois, dans l’ordre interne, « la possibilité d’adopter des normes et de les faire appliquer dans l’environnement numérique » [ainsi que, dans l’ordre externe], « la capacité de l’État à demeurer indépendant » ([35]).
Cette approche intègre, en conséquence, à la fois les enjeux de régulation de l’Internet, des réseaux sociaux, et la protection des droits fondamentaux des citoyens et des intérêts nationaux, mais aussi la question de l’extraterritorialité de certaines législations étrangères, qui pourraient venir remettre en cause les intérêts précités. Elle comprend donc de facto une forte dimension géostratégique tout en interrogeant aussi les modalités d’exercice de la puissance normative souveraine sur des terrains et dans des contextes nouveaux.
2. L’approche économique : soutenir l’émergence d’écosystèmes technologiques compétitifs
La souveraineté numérique comprend évidemment une importante dimension économique : le « monde numérique » repose sur l’existence d’acteurs privés parfois dominants qui innovent et vendent des services numériques ou des équipements indispensables à son fonctionnement matériel.
Cette approche est évidemment complémentaire de l’approche juridique de la souveraineté numérique, puisque les « champions du numérique » constituent autant des vecteurs d’influence et de soft power évidents pour leurs États d’origine, et qu’il convient donc aussi de pouvoir disposer des outils nécessaires pour protéger les « pépites » françaises ou européennes.
La promotion d’une forme de souveraineté numérique nationale et européenne implique également de travailler à l’émergence d’écosystèmes compétitifs et performants au sein des différentes strates du numérique pour satisfaire les besoins numériques domestiques, mais aussi exporter ces matériels et services.
3. L’approche culturelle et libérale : promouvoir l’autonomie des citoyens dans la sphère numérique à l’âge de la multitude
Toute réflexion sur la construction d’une souveraineté numérique ne saurait faire l’économie de la question des usages et du modèle de valeurs promu dans le cadre juridique au sein duquel ces usages s’effectuent.
Dans cette perspective, en partant du point de vue du citoyen-usager, la défense de sa souveraineté numérique correspond à la nécessité de garantir ses droits et libertés dans le cyberespace, ainsi que sa capacité à choisir entre les fournisseurs de services numériques, afin de ne pas être captif de l’un d’entre eux en raison des spécificités de l’économie numérique. Cette dernière approche comprend donc à la fois les enjeux relatifs à la protection des données, à l’interopérabilité des plateformes, et, par ailleurs, l’enjeu du modèle et des valeurs à défendre dans le cyberespace.
D. Plusieurs leviers d’action possibles pour les décideurs publics
Pour parvenir à une souveraineté numérique nationale et européenne, plusieurs leviers peuvent être mobilisés, de nature politique, économique et juridique.
Le premier levier politique est la coopération diplomatique entre États pour défendre une approche ouverte du monde numérique. L’avenir économique de la France dans le cyberespace repose en effet sur l’entraide européenne. Or, tous les États ne partagent pas cette approche : la coopération diplomatique est à ce titre essentielle, pour défendre le modèle conforme aux valeurs françaises et européennes d’un monde numérique libre et ouvert. La coopération diplomatique doit également permettre, dans une économie mondialisée, de garantir la continuité des chaînes d’approvisionnements et le partage de technologies. En ce sens, la construction d’une souveraineté numérique doit permettre d’éviter la répétition de l’échec de la crise sanitaire de 2020, durant laquelle les tentatives de coopérations technologiques n’ont pas abouti.
Le second levier politique est la préservation des intérêts nationaux face aux tentatives de déstabilisation. Les États et les entreprises doivent être en mesure de lutter contre les attaques malveillantes, de manière à protéger leurs données et celles des citoyens.
Le levier économique le plus important est la politique industrielle et concurrentielle, qui favorise l’apparition d’entreprises technologiques innovantes. Il s’agit ainsi de disposer de compétences suffisantes sur le territoire, mais aussi de dispositifs d’accompagnement à la création, puis au développement d’entreprises du numérique. Le levier industriel est ainsi la composante essentielle du pilier offensif de la souveraineté numérique.
La fiscalité est le second levier de politique publique en matière économique. Les États doivent trouver un équilibre entre deux objectifs, qui peuvent parfois être contradictoires. D’une part, l’équité fiscale doit conduire à la juste taxation des entreprises du numérique qui, par leurs caractéristiques, ne bénéficient pas toujours d’un établissement stable sur le territoire où elles délivrent leurs services. D’autre part, la fiscalité est également un élément d’attractivité, qui peut contribuer à attirer des entreprises technologiques sur le territoire, afin d’accroître le tissu productif de ce secteur.
Les leviers juridiques s’appuient en grande partie sur la régulation et participent, à ce titre, de l’approche défensive de la souveraineté numérique. Il s’agit, d’abord, de garantir la protection des intérêts nationaux et européens contre certaines pratiques : il en va ainsi des deux propositions de Règlement de la Commission, le Digital Services Act en matière de régulation des contenus en ligne, et le Digital Market Act qui vise à instaurer un nouveau modèle de régulation du comportement concurrentiel des grandes plateformes sur le marché européen.
Les leviers juridiques peuvent également avoir une utilité pour se prémunir contre les normes d’autres États, d’application extraterritoriale. À titre d’exemple, les États-Unis ont adopté en 2018 une loi fédérale sur l’accès aux données de communication, notamment opérées dans le cloud. Cette loi permet aux instances de justice américaines de solliciter auprès des fournisseurs de services opérant aux États-Unis, les communications personnelles d’un individu sans que celui-ci en soit informé, ni que son pays de résidence ne le soit, ni que le pays où sont stockées ces données ne le soit ([36]). Selon Mme Servane Augier, directrice générale déléguée de 3DS OUTSCALE, « dans le contexte réglementaire actuel, la souveraineté s’entend du fait de n’être absolument pas soumis à des réglementations extra-européennes. J’entends par là que l’on ne peut pas prétendre être souverain si l’on est soumis au Cloud Act. » ([37]) .
La bonne articulation de ces différents leviers, et des différentes dimensions de la souveraineté numérique évoquées précédemment est indispensable pour renforcer le niveau de souveraineté numérique de la France et de l’Union européenne. En effet, contrairement à d’autres États, l’Europe connaît un niveau de dépendance élevé dans ce domaine, qui l’expose mécaniquement à des difficultés importantes en cas de crise.
III. une absence évidente DE SOUVERAINETé NUMéRIQUE NATIONALE ET EUROPéENNE
Si le numérique réinterroge les attributs de souveraineté de tous les États, ces derniers ne sont pas en situation d’égalité vis-à-vis des évolutions afférentes à cette dynamique.
A. La Chine et les états-Unis ont réussi à bâtir leur souveraineté numérique sur des modèles très différents.
Actuellement, les États-Unis et la Chine sont les deux États qui possèdent le niveau d’indépendance numérique le plus important, pour des raisons tenant à l’existence d’acteurs numériques de taille critique qui disposent de parts importantes du marché numérique mondial (GAFAM) et/ou d’un marché domestique profond tout en manifestant cette intention (BATX).
Cette autonomie, toujours relative et incomplète par définition, repose, pour les États-Unis, sur une puissance financière et technologique sans égal, qui se traduit par un fort potentiel d’innovation, dans un domaine où il est extrêmement difficile, pour les concurrents, de rattraper le retard pris. On peut la qualifier de souveraineté numérique « ouverte », dans la mesure où elle prend appui sur un ensemble d’acteurs privés et se traduit plutôt par une expansion de la sphère numérique américaine au-delà des frontières nationales de ce pays.
Dans le cas de la Chine, la construction d’une souveraineté numérique « fermée » procède plutôt de facteurs politiques (défense du modèle chinois, protection des institutions). Elle traduit une forme de « régionalisation de l’Internet » évoquée par M. Sébastien Soriano, alors président de l’ARCEP, lors de son audition ([38]) . Cette souveraineté numérique nationale repose sur l’existence d’infrastructures, d’équipements et de logiciels nationaux, ainsi que sur le refus de l’usage des outils étrangers, en particulier américains ([39]). Elle est évidemment éminemment politique, puisqu’elle constitue un instrument de promotion du modèle politique chinois.
Au-delà de leurs différences profondes, force est de constater que ces modèles de conquête d’une forme d’autonomie stratégique numérique maximale possèdent deux points communs qu’il convient de relever : une forte volonté politique, d’une part, et le recours à la puissance publique dans un rôle de sélection ou d’encouragement des acteurs numériques les plus prometteurs, via le levier de la commande publique, d’autre part. Comme l’a rappelé en effet M. Bernard Benhamou, déjà précédemment cité, « les technologies fondamentales utilisées aujourd’hui dans l’iPhone, pour quasiment la totalité d’entre elles, ont été développées sur des crédits fédéraux américains. L’Internet, le premier, a été développé sur fonds fédéral militaire, [et] l’on pourrait parler des écrans tactiles, des interfaces vocales, des interfaces en réalité augmentée. Pratiquement toutes les technologies clés ont pu être développées parce que la puissance publique a largement investi dans leur développement, parce que la puissance américaine, depuis plus de cinquante ans, a développé un mécanisme appelé le Small Business Act, c’est-à-dire une loi orientant une partie significative de la commande publique vers des PME innovantes » ([40]).
B. L’Europe reste dans une situation d’hétéronomie numérique problématique en dépit de ses atouts
À l’inverse de la Chine et des États-Unis, l’Europe se trouve actuellement dans une situation de forte dépendance numérique, même si les situations des États membres sont évidemment variables, certains d’entre eux, dont la France, étant dans une position plus favorable que d’autres pays en raison de leurs ressources propres.
Votre rapporteur souhaite insister sur le caractère problématique de cette situation alors que l’Europe dispose, en théorie, d’atouts importants et d’une puissance économique et financière collective équivalente à celle des pays précédemment pris en exemple. Certains blocages, d’ordre politique, économique, financier et culturel expliquent néanmoins que les écarts se soient creusés rapidement, et que la situation actuelle ne soit pas satisfaisante.
En un mot, et comme l’a bien résumé M. Bernard Benhamou, secrétaire-général de l’Institut pour la souveraineté numérique, nous sommes malheureusement pour l’instant « en situation hautement défensive ». Il nous faut donc « absolument réfléchir à une possibilité de rebond, à une nécessité de rebond par rapport à cela. Cette nécessité doit prendre appui sur les faiblesses que nous notons aujourd’hui dans les acteurs du numérique, faiblesses en termes de confiance, faiblesses en termes de sécurité et de protection des données, faiblesses en termes de protection des processus démocratiques » ([41]).
Les nombreuses auditions menées aboutissent à ce constat sévère : l’Europe reste encore un « nain numérique » en dépit d’atouts indéniables et d’acteurs parfois bien positionnés dans des secteurs critiques, ce qui apparaît d’autant plus frustrant. Cette dépendance se manifeste tout au long des maillons de la chaîne de valeur du numérique, ou de ses différentes couches, pour reprendre le modèle précédemment évoqué. Sans prétendre à l’exhaustivité, il est possible de relever un certain nombre de faiblesses structurelles qui restent problématiques.
1. Une dépendance vis-à-vis des matériaux et composants fondamentaux des équipements numériques
L’Union européenne se trouve, d’abord, dans une situation de dépendance quasi-totale vis-à-vis des métaux rares indispensables pour produire les équipements numériques, que ces derniers soient attenants aux terminaux ou aux infrastructures. À l’heure actuelle, la Chine fournit 98 % des terres rares lourdes nécessaires à l'Union européenne, la Turquie 98 % du borate et l’Afrique du Sud 71 % des platinoïdes, pour ne citer que ces trois exemples. S’il existe incontestablement un niveau de conscience élevé de cette problématique, l’Union européenne ayant lancé un plan dédié à ce sujet, il n’en demeure pas moins que ce premier élément de dépendance reste une contrainte importante pour envisager toute forme sérieuse d’autonomie numérique, en plus de rendre plus difficile la maîtrise de l’empreinte environnementale du numérique.
L’Union européenne se retrouve également dans une position de forte dépendance vis-à-vis de la production de semi-conducteurs, composants pourtant indispensables au fonctionnement des équipements numériques, et dont l’importance ira croissant avec les progrès de l’Intelligence artificielle. Le marché mondial des semi-conducteurs, représente une valeur de 440 milliards de dollars. La moitié des composants produits et vendus est destinée au marché des ordinateurs, des smartphones et des mémoires. Or, comme le relève M. Thierry Tingaud, président du comité stratégique de filière (CSF) « Industries électroniques », alors « qu’il existe une prise de conscience [de cet enjeu] au niveau mondial », qui se traduit par le fait que « la Chine, les États-Unis mais aussi le Japon, la Corée et Taïwan consentent des investissements massifs pour avoir un leadership […] dans ce domaine », les acteurs européens ne sont pas, pour l’heure, fournisseurs de ces éléments, qui restent produits par un nombre très restreint d’acteurs que sont « Intel, Qualcomm, Broadcom, [ainsi que] les trois fabricants de mémoires dynamiques dans le monde » ([42]). Les vives tensions intervenues il y a quelques mois entre la Chine et les États-Unis sur ce sujet, pendant la crise sanitaire, donnent à voir, là aussi, la situation problématique dans laquelle se retrouve l’Europe, en dépit de l’existence d’acteurs, notamment français, qui disposent d’une vraie compétence sur certains des segments de ce marché.
Sur ce sujet, également, le soutien de longue date de projets importants d’intérêt européen commun, (PIEEC), et la perspective d’une alliance européenne pour l’électronique ([43]) constituent des éléments positifs, qui peuvent être salués. La localisation d’infrastructures de production en Europe, pour limiter les risques de sur-dépendance, notamment des équipementiers numériques vis-à-vis de leurs fournisseurs, doit être encouragée.
2. L’Europe reste encore un « nain numérique » sur le plan économique
La faiblesse de l’Union européenne en matière de production d’équipements et de terminaux numériques constitue un élément de fragilité indiscutable. La majorité des matériels utilisés sont en effet non-européens.
Sans prétendre à l’exhaustivité, quelques exemples de marchés clefs suffisent à indiquer la domination des équipements numériques chinois et américains, au niveau global.
Le marché des PC, qui a connu une hausse forte en 2020 avec plus de 300 millions d’ordinateurs personnels vendus, est dominé par le chinois Lenovo (24 % de part de marché), qui devance les acteurs américains HP (22,4 %), Dell Technologies (16,6 %), Apple (7,6 %) et Acer Group (6,9 %) ([44]) .
Il en va de même sur le marché européen et mondial des smartphones. Au niveau européen, l’acteur coréen Samsung dispose des parts de marché les plus élevées (32 % au premier trimestre 2021), devant l’américain Apple (22 %) et le chinois Xiaomi (18 %) et les deux acteurs chinois Oppo (6 %) et Huawei (2 %) ([45]) . Les parts de marché mondiales respectent grosso modo cet ordre de classement.
Les écarts sont encore plus importants pour la partie software, par exemple en ce qui concerne les systèmes d’exploitation. Au niveau mondial, la domination des acteurs américains est incontestable, qu’il s’agisse des solutions pour les PC de Windows, qui devance de loin le second acteur du marché, Apple, ou des OS pour les terminaux mobiles, dont le marché est réparti entre Google (Android) et Apple (iOS). Elle se répercute logiquement en termes de pouvoir de marché de ces deux acteurs au bénéfice de leurs magasins d’applications respectifs.
Les parts de marché des GAFAM sur un certain nombre de marchés critiques, telles que rappelées au sein de la note du Conseil d’analyse économique d’octobre 2020 « Plateformes numériques : réguler avant qu’il ne soit trop tard » témoignent de ce puissant différentiel entre acteurs européens et américains.
Parts de marché des GAFAM (2019-2020)
Source : Conseil d’analyse économique
Sur les principaux marchés numériques, l’Europe n’est donc pas parvenue à se doter d’acteurs de taille critique, ce qui fait dire à juste titre, à M. Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique que, face aux « grands acteurs non européens, qu’ils soient américains (Google, Apple, Amazon, Microsoft) ou chinois (Baidu, Alibaba, Tencent, Huawei, Xiaomi )[, il] manque dans ces acronymes des lettres européennes » ([46]) .
Cette absence d’acteurs critiques sur le marché mondial du numérique ne signifie pas qu’il n’existe pas, sur des segments spécifiques, des acteurs européens d’influence mondiale. Elle s’explique par un ensemble de facteurs au sein desquels la politique de la concurrence européenne joue une part non négligeable. Le marché européen du numérique reste encore, par bien des aspects, un simple agrégat de marchés nationaux, ce que démontre son éclatement par exemple en matière de communications électroniques. L’Europe comprend en effet un nombre très important d’acteurs, dans un contexte économique de prix bas qui entrave la constitution de marges suffisantes et réduit mécaniquement leur capacité à investir et à peser au sein de nouveaux marchés, en plus de produire parfois des effets de distorsions préjudiciables.
3. Une situation quotidienne de dépendance numérique vis-à-vis d’outils et de services non-européens
Le numérique étant d’abord un nouveau mode de vie et de fonctionnement de nos sociétés, il convient de traduire concrètement la réalité de cette absence de souveraineté numérique européenne dans le quotidien de ses usagers, pour mieux en comprendre les conséquences, notamment en cas de crise.
Au quotidien, les citoyens européens achètent des terminaux qui sont produits par des acteurs non-européens avec des composants asiatiques et fonctionnent sur des systèmes d’exploitation américains. Ils utilisent les services des magasins d’application américains et effectuent leurs recherches en ligne en mobilisant de façon majoritaire le moteur de recherche Google. Ils utilisent enfin massivement les réseaux sociaux, créés et régulés par des acteurs américains. Ils procèdent à leurs achats en ligne en recourant au leader du marché, l’américain Amazon. Enfin, la pratique croissante du streaming est dominée, elle aussi, par des acteurs américains (Netflix, Amazon Prime, Disney +) dont la puissance financière est supérieure aux acteurs européens (OCS, Canal + à la demande), bien que ces derniers proposent une offre différente qui rencontre son public.
Cet état manifeste de dépendance numérique, qui se traduit par l’absence d’acteurs européens de premier plan, est problématique, pour deux raisons :
– en cas de tensions géopolitiques, de multiples angles d’influence s’offrent à certains acteurs géopolitiques, qui auront forcément la tentation d’employer leurs leviers d’influence respectifs ;
– un mouvement d’entraînement vers de nouvelles dépendances se crée, en raison du caractère stratégique de certains des domaines cités, comme le marché des systèmes d’exploitation par exemple.
4. Une multitude de causes explique cette situation
Elle procède d’un ensemble complexe de causes qui doit être étudié et a été au cœur des travaux de la mission d’information. Parmi les nombreuses contributions des acteurs entendus, le constat selon lequel « l’Europe cumule des faiblesses déjà bien identifiées en matière de souveraineté numérique, qu’il s’agisse de facteurs internes ou externes » mis en avant par M. Julien Nocetti, est pertinent. M. Nocetti relève en effet, à juste raison, pour les facteurs internes, « l’insuffisante intégration du marché numérique, les problématiques de financement de l’innovation, les divergences politiques entre États membres » et, pour les facteurs externes, des « stratégies de puissances prédatrices et éprouvées » de la part des États-Unis et de la Chine ([47]).
S’agissant des facteurs internes, les auditions ont largement confirmé ce diagnostic : positionnement différents des États membres sur ces sujets, avec des éléments de résistance, voire d’opposition, entre souveraineté nationale et européenne sur le numérique, difficultés des entreprises technologiques à se financer sur le marché européen, notamment sur les « tickets » les plus importants, capacités d’anticipation et de veille technologique insuffisantes, au niveau européen, pour articuler une action efficace sur des projets d’ampleur, réticences, enfin, à soutenir la création de champions européens en raison d’un primat accordé à la politique de la concurrence sur la « politique industrielle » européenne, longtemps secondaire. Il est possible d’ajouter à cette liste l’encadrement strict, et peut être excessif, de la commande publique, et sa mobilisation parfois insuffisante au sein des États membres, dans une optique de stimulation de l’innovation et de l’offre technologique privée.
S’agissant des facteurs externes, il est incontestable que l’avance d’un certain nombre d’acteurs américains a pu créer le sentiment d’un retard difficile, voire impossible à rattraper sur certains segments, ce qui est exact. Les auditions font apparaître que l’Europe et ses États membres ont souvent été réticents à utiliser des outils de protection d’un certain nombre d’acteurs critiques, faute d’outils parfois, faute de souhaiter les utiliser aussi dans certains cas. Sur le plan diplomatique, la défense des intérêts numériques européens a pu être insuffisante, pour des raisons liées à des divergences entre les États membres, ou considérée comme secondaire au sein des instances internationales, même si la situation s’est améliorée à mesure même de la place croissance du numérique au sein des sujets politiques.
En conséquence, votre rapporteur ne peut que plaider pour l’amplification de la dynamique mise en œuvre ces derniers mois, sur le sujet de la souveraineté numérique, au niveau européen. Cette dynamique doit être soutenue également au niveau national, pour valoriser au mieux les différents atouts dont dispose la France, à savoir un écosystème tech dynamique et des capacités de financement des entreprises importantes, des entreprises bien positionnées sur certains segments clefs, un réel savoir-faire en matière de formation aux technologies de pointe et, enfin, une commande publique forte dont la mobilisation doit être réinterrogée à l’aune de ces enjeux.
DEUXIÈME PARTIE : BâTIR UNE SOUVERAINETé NUMéRIQUE NATIONALE ET EUROPéENNE
I. UNE POLITIQUE DE SOUVERAINETé NUMéRIQUE au service des CITOYENS.
Une politique de souveraineté numérique ne peut se construire qu’en partant des citoyens, dont les usages constituent le cœur du numérique. Comme l’a rappelé M. Sébastien Soriano, alors président de l’Autorité de régulation des communications électroniques, des postes, et de la distribution de la presse (Arcep), « dans nos sociétés démocratiques modernes, la première souveraineté à laquelle il faut être attentif, c’est celle des individus, en particulier leur capacité à faire des choix » ([48]). Avant de se poser la question de la régulation, indispensable pour garantir que le citoyen puisse « exercer son libre arbitre, dans la sphère réelle comme dans la sphère virtuelle » ([49]), il convient de lui assurer un accès performant à des réseaux efficaces et résilients.
A. Créer les conditions de la confiance dans le numérique
1. Répondre à la demande de connectivité des citoyens
a. Une accélération indispensable des déploiements fixe et mobile
L’égal accès à des infrastructures numériques est une condition indispensable de la confiance des citoyens dans le numérique. Il ne peut en effet y avoir de débats sur les usages du numérique lorsque persiste le sentiment que ce dernier viendrait creuser les inégalités. Il existe actuellement une forte demande de connectivité aux réseaux « fixe », via la fibre, et « mobiles », via la 4G, qui doit être entendue. Il est en effet impératif de permettre à chacun de bénéficier des avantages du numérique. Il convient également d’éviter que la défiance ne s’installe, et ne vienne nourrir d’autres craintes liées, par exemple, au déploiement de la 5G ([50]) .
Les auditions font apparaître qu’en matière de rythme de déploiement, la France se positionne favorablement par rapport à ses voisins européens, grâce à une politique volontariste menée dans le cadre du plan France Très Haut Débit ([51]) et du New Deal mobile ([52]) . L’Observatoire du très haut débit ([53]), publié par l’AVICCA et InfraNum avec l’appui de la Banque des territoires, indique en effet que la France est le marché le plus dynamique d’Europe sur la période de septembre 2019 à septembre 2020, en nombres d’abonnés au THD (+ 2,8 millions) et de foyers raccordables (+ 4,6 millions). En outre, au niveau global, comme l’a relevé M. Sébastien Soriano, si en 2014 « la France était dernière au classement européen du très haut débit et avant-dernière pour la 4G », elle est aujourd’hui « le pays d’Europe où la fibre se déploie le plus en valeur absolue selon le classement IDATE Digitaworld ». Les investissements au sein du secteur des télécoms ont en effet fortement augmenté lors cette période, en passant de 7 milliards d’euros en 2014 à plus de 10 milliards d’euros en 2019.
Votre rapporteur salue évidemment ces progrès, mais conserve à l’esprit que le classement de la France, au niveau européen, en termes d’infrastructures numériques, reste décevant. Selon l’index DESI 2020 publié par la Commission européenne, notre pays se classe en effet en 18e position, et possède encore « de vastes portions de zones moins densément peuplées et de zones rurales qui ne sont toujours pas couvertes » ([54]). Une accélération des déploiements est donc indispensable.
b. Une poursuite des déploiements pendant à la crise sanitaire
i. État des lieux des déploiements « fixe »
Pour les déploiements « fixe », M. Sébastien Soriano a indiqué qu’environ « 16 millions de prises ont été installées au cours des cinq dernières années ». D’après les chiffres publiés par l’ARCEP dans son Observatoire du haut débit et du très haut débit (T4 2020), « à la fin du quatrième trimestre 2020, 28,6 millions de locaux étaient éligibles à des services à très haut débit, toutes technologies confondues, dont 21,7 millions en-dehors des zones très denses » ([55]) . Le nombre d’abonnements à haut et très haut débit atteint désormais 30,6 millions (dont 14,7 millions d’abonnements THD), soit une hausse du nombre d’accès de 2,7 % (+ 800 000) en 2020, « croissance qui n’avait pas été aussi élevée depuis trois ans » ([56]).
Comme l’ont rappelé les opérateurs, le rythme de déploiement très élevé en 2019, avec 4,8 millions de lignes déployées, a été maintenu en 2020, ce qui constitue déjà une performance notable. Pendant la crise, les déploiements se sont en effet poursuivis à un rythme réduit, « de l’ordre de 20 %, 30 % ou 40 % » d’après les opérateurs, quand la plupart des autres secteurs, le BTP par exemple « étaient à 90 % à l’arrêt » ([57]) .
Votre rapporteur considère que les acteurs de ce secteur ont ainsi fait la démonstration de leur résilience et de leur capacité à assurer la maintenance des réseaux, dans un contexte de « choc d’usages » qui avait légitimement suscité des inquiétudes au mois de mars 2020. Il souhaite également saluer la capacité de dialogue et d’action concertée du Gouvernement, de l’ARCEP et des opérateurs qui ont permis à notre pays de pouvoir compter pleinement sur ses réseaux numériques pour faire face à la crise sanitaire. Il considère, enfin, que les instances de dialogue mises en œuvre pendant la crise pour échanger avec les acteurs grands consommateurs de bande passante doivent être pérennisées, de sorte à pouvoir être mobilisées avec encore davantage de rapidité en cas de nouvelle crise.
Proposition n° 1 : Créer un « comité numérique de crise » réunissant les opérateurs, les grands acteurs du numérique et les pouvoirs publics en cas de difficulté sur les réseaux numériques.
ii. État des lieux des déploiements mobiles
Les déploiements mobiles en 4G progressent également à un rythme important ces dernières années, conformément aux objectifs fixés dans New Deal mobile. La couverture mobile du territoire est ainsi passée, en surface, « de 46 % en 2018, au moment de la signature du « New Deal mobile », à 76 % au milieu de l’année 2020 », ce qui a permis à « notre pays, [qui] était classé vingt-sixième sur vingt-huit, [de se situer] maintenant en milieu de tableau » ([58]) , selon M. Sébastien Soriano, alors président de l’ARCEP.
Sur le premier volet du New Deal mobile, c’est-à-dire l’engagement des opérateurs à basculer tous leurs sites mobiles en propre en 4G d’ici la fin de l’année 2020, les opérateurs considèrent qu’ils sont « quasiment à l’objectif » ([59]), constat qui semble partagé par l’ARCEP.
Sur le dispositif de couverture ciblée, destiné à améliorer la disponibilité de la 4G en zones peu denses, ces mêmes opérateurs indiquent avoir « atteint l’objectif de déploiement du nombre de pylônes, sauf pour une vingtaine de pylônes qui n’ont pas pu être installés dans les délais [en raison soit de] difficultés liées à des oppositions de riverains soit [de] difficultés liées à l’absence d’autorisation administrative d’accès à des sites classés » ([60]).
Ces éléments indiquent donc que le New Deal mobile est entré « en phase industrielle », mais que les efforts engagés doivent se poursuivre et s’amplifier.
c. Des progrès indéniables mais des inégalités persistantes à résorber
Comme l’ont indiqué les représentants des collectivités locales, « le New Deal mobile et le plan France Très Haut Débit sont globalement un succès mais nous ne pouvons pas ignorer qu’il reste des problèmes de connexion, que l’inachèvement de la couverture numérique fixe et mobile produit des inégalités dans l’accès au numérique » ([61]) .
En effet, il reste encore des zones blanches à couvrir, via le déploiement des réseaux d’initiative publique, d’une part, et le déploiement de la 4G puis que de la 5G, d’autre part.
Sur la partie « fixe », on ne peut que noter que la zone d’initiative publique connaît une grande variété de rythmes de déploiement des réseaux en fonction des modèles choisis et des dates de lancement de ces projets. Si l’année 2021 devrait être celle du « pic des RIP » avec une prévision de déploiement de 6,2 millions de prises, seuls 31 % des locaux de cette zone étaient couverts par la fibre FttH au niveau national et un peu moins de la moitié (47 %) par le très haut débit au quatrième trimestre 2020, ce qui laisse entrevoir l’ampleur du chemin qu’il reste à parcourir.
L’enjeu de la complétude des déploiements doit également être adressé (6,5 millions de prises à déployer d’ici 2025). En ce sens, le plan de relance, qui a abondé les crédits du plan France Très Haut Débit pour le déploiement des réseaux d’initiatives publiques, constitue un excellent signal envoyé en faveur d’une reprise aussi rapide que possible du rythme nominal des déploiements fixes dans les territoires où les attentes sont fortes.
Votre rapporteur insiste sur l’enjeu de la qualité des déploiements, ce sujet étant régulièrement revenu dans les échanges menés, notamment au sujet du recours au mode STOC ([62]) . Le bon équilibre doit être trouvé pour garantir une résilience des réseaux déployés. C’est la raison pour laquelle votre rapporteur invite l’ARCEP et les services du Gouvernement à faire preuve d’une grande vigilance sur ce point.
Proposition n° 2 : Renforcer les contrôles mis en œuvre par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) sur la qualité du déploiement des réseaux fixes.
Sur la partie « mobile », enfin, l’enjeu sera évidemment d’approfondir la couverture en 4G, et de préparer le déploiement de la 5G, dont une partie des sites sera implantée en zones rurales conformément au cahier des charges auquel les opérateurs ont consenti lors de l’attribution des premières fréquences sur la bande 3,5 GHZ.
d. Déployer la 5G sans faire de compromis sur la sécurité
Le déploiement de la 5G sur le territoire national constitue un enjeu de souveraineté pour la France et l’Europe à plusieurs titres :
– cette technologie va offrir des gains d’efficacité importants au sein de l’industrie et permettre l’émergence de nouveaux usages dans des domaines variés, de la santé à l’agriculture en passant par la robotique, l’industrie 4.0 etc. Il s’agit d’un élément de compétitivité indispensable pour le développement de nos acteurs industriels nationaux et l’anticipation d’éventuelles ruptures technologiques ;
– cette technologie va également participer à moyen-terme à la couverture mobile du territoire, conjointement avec les déploiements en 4G. C’est en ce sens que le cahier des charges fixé par l’ARCEP prévoit qu’une partie des sites 5G sera progressivement déployés en zone rurale. De ce point de vue, la dynamique engagée devrait conduire, selon M. Sébastien Soriano, à ce que « la 5G des villes et la 4G + des champs [offre] un service quasiment équivalent dans toute la France » afin de veiller à « éviter l’apparition de fractures territoriales » ([63]) ;
– enfin, cette technologie présente des caractéristiques qui lui donnent une certaine sensibilité en matière de sécurité. La virtualisation des réseaux et le déploiement d’un nombre important d’équipements sur le territoire national impliquent une vigilance particulière afin de réduire le risque d’exposition des réseaux numériques à des problématiques de sécurité.
Les auditions font apparaître une situation nationale en cours d’amélioration concernant les réticences au déploiement de la 5G, grâce au dialogue nourri entre les maires et les opérateurs, sur le terrain, mais également un retard incontestable de la France et de l’Europe par rapport aux États-Unis et à la Chine dans ce domaine. De ce point de vue, les craintes exprimées, par exemple, par M. Anthony Colombani, directeur des affaires publiques chez Bouygues Telecom, semblent plus que fondées : « Dans l’opinion publique et chez certains élus, nous constatons une véritable méfiance, parfois même une vraie défiance, ce qui a conduit certains d’entre eux à prendre des moratoires qui créent évidemment des difficultés pour nous. Il ne faudrait pas que cette opposition larvée à la 5G, parfois violente puisqu’une quarantaine d’antennes ont brûlé en France, nous fasse prendre du retard. C’est un point extrêmement important. » ([64]).
Votre rapporteur ne peut donc qu’encourager les pouvoirs publics à se mobiliser pour défendre la 5G, d’une part, et à tenir le calendrier des déploiements prévu, d’autre part, afin de s’assurer de minimiser le retard existant dans ce domaine. Il souhaite néanmoins insister, en même temps, sur le fait qu’aucun compromis ne doit être fait sur la sécurité de ces déploiements.
Proposition n° 3 : Maintenir une exigence maximale de sécurité vis-à-vis des déploiements 5G.
Le cadre offert par la loi du 1er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles est en effet pertinent. Il existe néanmoins probablement des marges de progrès en ce qui concerne les délais de traitement des dossiers et la transparence qui peut être offerte aux opérateurs sur les raisons des refus d’autorisation d’exploitation.
Proposition n° 4 : Assurer un traitement rapide des demandes d’autorisation d’exploitation d’équipements 5G. Garantir également une transparence des critères de décision mis en œuvre dans ce cadre.
2. Protéger de façon effective les données personnelles des citoyens
a. Des attentes fortes de la population sur la souveraineté des données
La protection des données est une préoccupation majeure des Français et la condition légitime de leur confiance dans le numérique. Cette vigilance est largement partagée au sein de la population, comme l’a rappelé M. Gwendal Le Grand, secrétaire-général adjoint de la commission nationale de l’informatique et des libertés. Les études récentes sur cette question « montrent une profonde aspiration de maîtrise des personnes sur leurs données [puisque] 87 % des Français se déclarent sensibles à la protection des données » ([65]).
La capacité de protéger les données des citoyens français est donc un enjeu de souveraineté auquel les citoyens sont très sensibles ([66]). Selon un sondage IFOP publié en avril 2021 ([67]) , 69% des Français estiment que la souveraineté des données est un enjeu majeur et 72 % des Français se disent opposés à ce que leurs données personnelles soient stockées en dehors de l’Union européenne. Ainsi que l’a résumé M. Michel Paulin, directeur général d’OVHcloud, une vraie prise de conscience a eu lieu sur ce sujet. Les Français sont désormais « extrêmement attentifs sur les domaines de la santé, des données financières, des données publiques. Ils estiment que les données doivent être en France ou en Europe et qu’il doit y avoir une garantie que les acteurs ne puissent pas faire circuler ces données ou métadonnées. […] D’une certaine façon, tous les débats passés sur la localisation des données, leur traitement, leurs flux, et l’impact de Schrems II démontrent que ces sujets sont d’actualité et impactent les vies des entreprises et des citoyens » ([68]).
b. Un niveau de protection en Europe sans équivalent dans le monde
En matière de protection des données, s’il est évident que la confiance « ne se décrète pas », force est de constater néanmoins que l’Union européenne et ses États membres garantissent un niveau de protection des données personnelles de leurs citoyens sans équivalent dans le monde.
Le cadre juridique actuel est le résultat de plusieurs décennies d’action résolue visant à répondre aux défis politiques, économiques et géopolitiques posés par la question de la protection des données.
Comme l’a rappelé M. Gwendal Le Grand, en France, cette dynamique a d’abord été impulsée à l’occasion de l’adoption de la loi pour l’informatique et les libertés, en 1978, dont l’article premier « a donné naissance à la CNIL [et posé] le principe selon lequel l’informatique doit être au service de chaque citoyen et ne porter atteinte ni à une entité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles et publiques ». Cette loi a permis d’imposer « quatre types de nouveaux droits citoyens [dans ce domaine] : les droits d’information, d’opposition, d’accès et de rectification » ([69]).
À partir des années 1990, ensuite, face aux défis économiques et à l’explosion d’Internet, l’Europe s’est dotée « d’une directive en 1995, qui reprend les principes de la loi Informatique et Libertés », puis « en 2002, [d’]une directive dite « on Privacy » (Vie privée et communication électronique) [qui a reconnu] la spécificité du secteur des communications électroniques, avant que cette dernière évolue le 25 mai 2018 en Règlement général sur la protection des données » dans un contexte où désormais les GAFAM « sont devenues hégémoniques et [où] de nombreuses avancées technologiques, comme les objets connectés, les techniques de profilage, de surveillance, les outils de contrôle, les algorithmes et le développement des cyberattaques, [ont nourri] la conscience collective de devoir revoir à la hausse le niveau de protection des données personnelles. Les révélations d’Edward Snowden aux débuts des années 2010 en sont le symbole » ([70]).
Ce Règlement général sur la protection des données est construit autour de cinq axes majeurs, comme l’a rappelé le secrétaire général adjoint de la CNIL ([71]) :
– le renforcement quantitatif et qualitatif du droit des personnes via notamment une meilleure explication de la loi Informatique et Libertés, et l’apparition de nouveaux droits, comme le droit à l’oubli, le droit à la portabilité et la possibilité de mener des actions de groupe ;
– la responsabilisation de l’ensemble des acteurs de traitement de données, publiques et privées, sur la base de principes de minimisation de la collecte, de limitation de la durée de conservation et d’obligation de sécurité pour garantir à tout moment le respect du règlement général sur la protection des données. Le RGPD est d’ailleurs fondé sur la notion de risques présentés par les traitements, tant en volume qu’en sensibilité des données. En clair, plus l’acteur est important dans l’écosystème numérique, plus ses obligations et ses responsabilités sont nombreuses ;
– le renforcement du pouvoir de sanction administrative des différentes CNIL au niveau européen. Les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise, l’option majeure étant appliquée. La gamme des sanctions est également élargie ;
– la mise en place d’un nouveau modèle de gouvernance de la régulation, inédit au niveau européen, au travers d’un guichet unique pour les entreprises et d’un guichet unique pour les citoyens ;
– la libre circulation des données sur l’ensemble du territoire de l’Union et un principe inédit d’extra-territorialité, selon lequel il s’applique à tous les acteurs dès lors qu’un organisme cible des citoyens européens.
Le règlement général sur la protection des données, qui ne connaît pas d’équivalent dans le monde, est progressivement devenu « un instrument de soft power [et]de diplomatie », de sorte à ce que, selon M. Gwendal Le Grand, il y a eu « un avant et un après 25 mai 2018 au niveau mondial ». En effet, suite à son adoption « des pays ont procédé à la mise à jour de leur cadre national en matière de protection des données, afin de continuer à commercer avec l’Europe. Tel est le cas de la Suisse, du Japon, de la Corée du Sud, du Bénin ou de l’Australie. Des processus législatifs sont en cours dans d’autres pays comme la Tunisie ou le Burkina Faso. Des États ont, [en outre], pour la première fois, adopté un cadre juridique général de protection des données personnelles comparable au RGPD dans ses principales dispositions. Tel est le cas de la Californie avec le California Consumer Privacy Act (CCPA) adopté en octobre 2018 et entré en application le 1er janvier 2020. Le Brésil a adopté son règlement en 2019. En Inde, la Cour suprême a [également] consacré, en 2017, le droit à la protection de la vie privée comme un droit fondamental ». Ces nombreux exemples font la démonstration qu’en agissant au bon niveau et dans un timing satisfaisant, l’Europe peut peser sur la définition du modèle de valeurs mondial du numérique.
Ce cadre robuste de protection des données personnelles doit néanmoins constamment s’adapter aux évolutions technologiques. Les scandales récents de fuites de données ou de captation par certains États (affaire Edward Snowden) plaident, en outre, en faveur d’une vigilance accrue sur les enjeux de transfert et de collecte des données. La localisation des données en Europe, le développement d’une offre cloud européenne compétitive capable de rivaliser avec les grands acteurs, et, enfin, la résistance vis-à-vis des tentations extraterritoriales doivent désormais constituer trois axes prioritaires dans cette optique.
c. Des moyens supplémentaires et une simplification des procédures de sanction sont indispensables pour assurer, en pratique, cette protection
La commission nationale de l’informatique et des libertés (CNIL) est chargée en France de la bonne application de ce cadre protecteur. Cette autorité administrative indépendante a connu un accroissement de sa charge de travail en raison d’un « effet RGPD » ([72]). Elle a en effet observé une forte augmentation du nombre de plaintes déposées. La CNIL a reçu, pour les années 2019 et 2020, environ 14 000 plaintes, soit une augmentation de 27 % par rapport à l’année 2018, cette dernière étant déjà « une année record » selon les mots de son secrétaire général adjoint.
La crise sanitaire a également renforcé l’acuité des problématiques liées à la protection des données personnelles, ce qui s’est traduit par une augmentation de 18 % du nombre de visites du site internet de la CNIL. La CNIL a également reçu près de 6 500 notifications de violations de données personnelles depuis 2018 et ouvert « près de 1 200 dossiers en 2018, 2 300 en 2019 et plus de 3 000 dossiers en 2020 » ([73]) . La CNIL procède également, dans son rôle de répression, à environ 300 contrôles formels par an, et réalise un certain nombre d’activités en coopération avec les autres autorités de protection des données personnelles des États membres. Elle a prononcé à ce jour « plus de 550 sanctions représentant plus de 300 millions d’euros d’amendes » ([74]) . Les montants des sanctions prononcées sont d’ailleurs « nettement plus élevés qu’avant 2018, puisque le plafond est passé de 150 000 euros à 3 millions d’euros, voire 4 % du chiffre d’affaires mondial d’une entreprise » ([75]).
Force est de constater que les missions de la CNIL tendent à s’accroître, et que l’Autorité, en dépit de l’évolution à la hausse de ses effectifs (245 agents en 2021 contre 225 en 2020), peut difficilement exercer ses missions de façon ambitieuse dans les conditions actuelles mises à son activité. Ainsi que le rappelle à juste raison M. Gwendal Le Grand, la France présente, selon les chiffres de la Commission européenne, « le troisième plus mauvais ratio pour son nombre d’agents de la CNIL rapporté au nombre d’habitants » ([76]) . Cette situation n’est pas tenable dans la durée.
Dans ces conditions, votre rapporteur estime que les pouvoirs publics doivent assumer le coût d’une protection effective des données des citoyens français. Il préconise donc de revoir fortement à la hausse les effectifs de la CNIL, selon une trajectoire beaucoup plus ambitieuse que les prévisions actuelles.
Proposition n° 5 : Renforcer les effectifs de la commission nationale de l’informatique et des libertés (CNIL) dans le cadre du projet de loi de finances pour 2022.
Les échanges menés avec la CNIL font également apparaître que les procédures de sanction applicables aux dossiers de moyenne ou faible intensité ne sont pas adaptées au traitement d’un flux de plaintes aussi important. Il semble donc indispensable de simplifier et d’enrichir les procédures dont dispose la CNIL pour prononcer les différentes « mesures correctrices » prévues par le RGPD. Ainsi que l’a indiqué la CNIL, dans un échange postérieur à son audition, le cadre juridique actuel ne lui permet d’adopter, en pratique, chaque année, qu’environ « 50 mises en demeure [ainsi qu’] une dizaine de décisions de la « formation restreinte », compétente en matière de sanctions. Cette dizaine de décisions ne correspond, en outre, pas nécessairement à des sanctions. [Enfin], le président de cette formation ne dispose d’aucune faculté de prendre seul les décisions les plus simples (injonction de produire ou non-lieu) ».
Votre rapporteur considère que le Parlement doit faire preuve d’un haut niveau d’ambition à l’occasion de l’examen actuellement en cours du projet de loi « 4D », et en particulier de son article 51, qui concerne directement cette question.
Proposition n° 6 : Simplifier le processus de sanction par la CNIL pour les dossiers de moyenne et de faible intensité, afin de renforcer sa capacité à prononcer les « mesures correctrices » prévues par le règlement général sur la protection des données (RGPD).
d. Des évolutions récentes du droit de l’Union européenne utiles pour contrer les risques de transfert de données non conformes au règlement général sur la protection des données (RGPD).
La consolidation du cadre actuel de protection des données s’est effectuée via l’action de la Cour de justice de l’Union européenne, à l’occasion de contentieux relatifs au transfert de données en dehors de l’Union, c’est-à-dire vers des pays tiers.
Son arrêt Schrems II en date du 16 juillet 2020 a réaffirmé la nécessité, pour procéder à pareil transfert, que ces données bénéficient d’une protection équivalente au sein des pays tiers. Il constitue une nouvelle étape au sein d’un contentieux « assez ancien », comme l’a rappelé le Pr Thibaut Douville, professeur des universités, l’autorité irlandaise de protection des données ayant formulé « par deux fois, des questions préjudicielles qui ont conduit la Cour de justice à rendre un arrêt » ([77]) . La Cour avait en effet déjà invalidé, en 2015 suites aux révélations de l’affaire Edward Snowden « le Safe Harbor, premier accord transatlantique sur le transfert des données des citoyens européens aux États-Unis » qui était « utilisé par plusieurs milliers de sociétés aussi bien aux États-Unis que dans d’autres pays » ([78]).
Cet arrêt apparaît, en outre, relativement « inattendu du point de vue de sa solution, car le contentieux qui a amené à l’arrêt Schrems II ne portait pas sur la validité de la décision d’adéquation Privacy Shield, mais sur le recours à des clauses contractuelles-types par Facebook pour transférer des données aux États-Unis » ([79]) . Par cette décision, la Cour de justice de l’Union européenne a en effet invalidé le Privacy Shield, c’est-à-dire la décision d’adéquation qui permettait le transfert de données à caractère personnel vers un pays tiers, en l’espèce les États-Unis. Cette annulation repose sur un constat simple : à la date du jugement, « les États-Unis n’offraient pas [de] protection [des données] équivalente » à celle existant en Europe. La Cour a en effet relevé que les personnes concernées « ne bénéficiaient « ni de droits effectifs et opposables, ni d’un droit à un recours juridictionnel », dans la mesure où, notamment, « le médiateur mis en place par les États-Unis, en tant qu’autorité chargée de protéger les données à caractère personnel des citoyens européens, ne présent[e] pas de garantie d’indépendance et ne dispos[e] pas d’un pouvoir permettant d’adopter des dispositions contraignantes en matière de protection des données. » ([80]). Elle s’est appuyée, pour rendre sa décision d’annulation, sur « la protection du droit au respect de la vie privée garanti par l’article 7 de la Charte des droits fondamentaux, la protection du droit au respect des données à caractère personnel et son régime exprimé à l’article 8 de la Charte des droits fondamentaux et enfin, sur l’article 47 de la Charte des droits fondamentaux qui consacre le droit à un recours juridictionnel au titre des droits protégés par cette Charte » ([81]).
L’ invalidation du Privacy Shield par la décision Schrems II a constitué « un cataclysme dans les activités économiques », dans la mesure où « 65 % de l’offre cloud est offerte par Amazon, dont une partie des serveurs se situe aux États-Unis » ([82]). Nombre d’acteurs économiques auditionnés ont en effet indiqué être « en attente » de davantage de clarté sur les conséquences de l’arrêt Schrems II. Les acteurs publics sont d’ailleurs dans une situation similaire, lorsqu’ils se sont orientés pour l’hébergement de leurs données vers des acteurs non européens. Prenant l’exemple du Health Data Hub, le Pr Thibault Douville estime ainsi que, même si Microsoft stocke un certain nombre de données en Europe, la réalisation d’opérations de traitement sur les données, qui sont « pour partie, conduites grâce à un transfert temporaire via des serveurs américains » pourraient être cause d’« une non-conformité au droit de l’Union à la suite de l’arrêt Schrems II » ([83]) . Lors de son audition ([84]), la directrice de cette structure, Mme Stéphanie Combes, a d’ailleurs indiqué qu’une étude sur les conséquences de la décision Schrems II avait été commandée par ses services à ce sujet.
Le Health Data Hub : une plateforme unique de recherche sur les données de santé
Le Health Data Hub est un groupement d’intérêt public créé par la loi du 24 juillet 2019 portant organisation et transformation du système de santé, à la suite de la remise au président de la République du rapport de Cédric Villani sur l’Intelligence artificielle. Cette plateforme remplace l’Institut national des données de santé (INDS), créé par la loi en 2016.
Le Health Data Hub poursuit l’objectif de garantir un accès aisé, unifié, transparent et sécurisé aux données de santé pour améliorer la qualité des soins et l’accompagnement des patients. Cette plateforme est un guichet unique pour les projets de recherche médicale. Elle met à disposition des chercheurs un catalogue de données, ainsi qu’une plateforme sécurisée et une palette d’outils pour les traiter. L’utilisation de ces données est soumise à un processus strict d’autorisation qui implique le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) et la CNIL.
Le Health Data Hub regroupe 56 parties prenantes réparties en neuf collèges représentant respectivement l’État, la Caisse nationale d’assurance maladie, les organismes d’assurance maladie complémentaires, le secteur de la recherche et de l’enseignement, les établissements de santé, les professionnels de santé, les agences, opérateurs et autorités administratives indépendantes, les usagers et enfin les industriels.
En 2020, le Health Data Hub avait lancé un appel à projet, accompagné 27 projets pilotes et 9 projets Covid. Huit projets de recherche ont été autorisés, cette même année, par la CNIL. Une vingtaine de partenariats sont par ailleurs en cours de discussion avec des responsables de données.
Source : audition du Health Data Hub par la mission d’information.
En tout état de cause, cet élément de risque supplémentaire aurait pu être évité en recourant à des solutions françaises ou européennes, dont il n’apparaît pas, au regard des auditions menées, qu’elles auraient été trop peu performantes pour justifier pareil arbitrage. Les contraintes calendaires et politiques ne sauraient suffire en effet à justifier le recours à un prestataire américain quand il existe une offre française ou européenne suffisamment compétitive.
Votre rapporteur considère que la décision Schrems II est positive et qu’elle démontre la capacité de l’Union européenne à défendre de façon effective la protection des données des citoyens. Il estime que cette décision plaide en faveur de la localisation des données sur le sol européen et de l’émergence d’offres de cloud souverain ainsi que de contraintes juridiques effectives sur les offres des acteurs non-européens pour garantir le respect du modèle numérique défendu par l’Union européenne. Ces éléments doivent être intégrés par les pouvoirs publics lorsqu’il s’agit d’effectuer des choix techniques pour mener à bien les projets numériques existants.
Proposition n° 7 : Intégrer de façon systématique au sein des arbitrages techniques des projets numériques les enjeux ayant trait à la souveraineté numérique, en particulier concernant la protection des données personnelles et la localisation des données en Europe.
Votre rapporteur considère également que l’arrêt Schrems II souligne la question centrale de l’extra-territorialité de la législation américaine, qui pourrait conduire, sur le fondement du Cloud Act ou de la section 702 du FISA, à ce que les autorités des États-Unis contraignent des entreprises à communiquer certaines données personnelles en leur possession. Ce risque lié à l’existence de législations extraterritoriale a d’ailleurs été explicitement reconnu dans la décision en référé du Conseil d’État du 14 octobre 2020 ([85]) .
Health Data Hub et protection des données de santé
La création du Health Data Hub et l’accélération de son déploiement dans le cadre de la crise sanitaire ont donné lieu à plusieurs recours d’associations de défense des droits devant le Conseil d’État.
Le Conseil national du logiciel libre (CNLL) et plusieurs autres associations ont saisi une première fois le juge des référés du Conseil d’État à la fin du mois de mai et au début du mois de juin 2020 pour lui demander de suspendre l’exécution de l’arrêté du 21 avril 2020 qui autorisait le Health Data Hub à récolter différentes données de santé pour la gestion de l'urgence sanitaire et l'amélioration des connaissances sur le covid-19.
Cette requête s’appuyait notamment sur les modalités d’hébergement des données, celles de leur anonymisation, ainsi que sur le risque qu’elles puissent faire l’objet de transfert vers des pays tiers.
Dans une décision du 19 juin 2020, le juge des référés du Conseil d’État a rejeté les conclusions des requérants, en s’appuyant notamment sur le contenu du contrat conclu avec Microsoft le 15 avril 2020, et sur le fait que les possibles transferts de données aux États-Unis pour des besoins de maintenance s’inscrivaient dans le cadre de la décision d’adéquation de la Commission européenne de 2016, ainsi que le permet le RGPD. Le juge des référés a néanmoins demandé à la plateforme de communiquer sous cinq jours à la CNIL tous les éléments relatifs aux procédés de pseudonymisation utilisés afin qu’elle puisse les vérifier.
L’invalidation du Privacy Shield, par l’arrêt Schrems II de la Cour de justice de l’Union européenne en date du 16 juillet 2020 est venue remettre en cause la base juridique de cette première décision. Les associations requérantes ont en conséquence à nouveau saisi le juge des référés le 28 septembre 2020 pour lui demander de suspendre le traitement des données liées à l’épidémie de covid-19 au sein du Health Data Hub en raison des risques d’atteinte au droit au respect de la vie privée liés aux possibles transferts de données vers les États-Unis.
Dans une nouvelle décision en date du 14 octobre 2020 le juge des référés du Conseil d’État a rejeté les conclusions des requérants tendant à la suspension immédiate du traitement de données sur la plateforme, en s’appuyant notamment sur un arrêté ministériel pris le 9 octobre 2020 interdisant tout transfert de données à caractère personnel dans le cadre de ce contrat. Il a reconnu, en revanche, l’existence d’un risque et, eu égard aux limites afférant à l’office du juge des référés, demandé au Health Data Hub de continuer à travailler avec Microsoft, sous le contrôle de CNIL, afin de renforcer la protection des droits des personnes concernées sur leurs données personnelles, dans l’attente d’une solution pérenne permettant d’écarter tout risque d’accès aux données personnelles par les autorités américaines, comme présenté par le secrétaire d’Etat au numérique le jour même de l’audience. Ce dernier s’est en effet engagé au nom du Gouvernement à transférer l’hébergement du Health Data Hub sur des plateformes françaises ou européennes. Un délai de deux ans a été retenu pour procéder à ce transfert dans des conditions satisfaisantes.
Source : auditions de la mission d’information – site internet du Conseil d’État
Sur ce sujet, les auditions ont fait apparaître des réponses pour le moins contrastées, pour ne pas dire contradictoires, selon les acteurs entendus.
Les représentants d’IBM ont ainsi affirmé explicitement lors de leur audition, qu’en tant que « société française indépendante, opérant en France », leur entreprise n’était pas « soumise à la juridiction d’autorités gouvernementales étrangères qui lui demanderaient de communiquer des données, que ce soit au titre du Cloud Act ou de toute autre législation équivalente ». Ils ont également souligné, en outre, que « depuis trois ans, le Cloud Act [n’avait eu] aucun impact sur l’accès aux données de clients français d’IBM, ou de tout autre client d’IBM situé hors des États-Unis » ([86]).
À l’inverse, les représentants de Google France, ou d’Amazon Web Services, par exemple, ont explicitement admis être soumis au Cloud Act et donc à ce type de demandes, en précisant néanmoins qu’ils utilisaient de façon systématique les voies de recours prévues pour les contester ([87]) . Ils ont également indiqué que ces demandes restaient extrêmement rares, pour ne pas dire exceptionnelles ([88]).
Les échanges intervenus sur l’impact de la soumission de ces entreprises au FISA ne témoignent donc pas d’une grande clarté quant à la portée réelle de cette législation. Néanmoins, comme l’a rappelé M. Gwendal Le Grand, secrétaire général adjoint de la CNIL, bien que « la section 702 du FISA n’apporte pas de précision sur la portée extraterritoriale des ordres à produire », elle « ne restreint pas ces demandes aux seules données stockées sur le territoire américain, ce qui implique un possible accès à des informations en dehors du territoire américain. Il n’y a donc pas de doute sur le caractère extraterritorial des acquisitions [ainsi que] des interceptions fondées sur l’Executive Order 12333 ». Pour ce qui concerne le Cloud Act, « un responsable de traitement ou un fournisseur de communications électroniques ou de services informatiques distants, dont les traitements sont soumis au RGPD, pourrait devoir répondre à un mandat des autorités américaines en vertu du Cloud Act. Un sous-traitant de responsable de traitement américain, établi dans l’Union européenne, peut [donc] être destinataire d’un mandat des autorités américaines pour les données qu’il sous-traite » ([89]).
Face à ce constat d’exposition effective au risque extraterritorial, votre rapporteur considère qu’il est impératif que l’Europe et la France mobilisent leurs arsenaux juridiques respectifs pour refuser l’application extraterritoriale de normes de cette nature.
Proposition n° 8 : Réaliser un état des lieux de l’arsenal juridique national permettant de s’opposer à la communication d’informations à une puissance étrangère et former les acteurs publics à ce type d’outils.
L’actualisation et le renforcement, le cas échéant, de la loi de blocage du 26 juillet 1968, conformément aux recommandations formulées au sein du rapport « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale » remis au Premier ministre par notre collègue M. Raphaël Gauvain en 2019 est également souhaitable.
Proposition n° 9 : Actualiser et renforcer, le cas échéant, la loi de blocage du 26 juillet 1968, conformément aux recommandations formulées au sein du rapport « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale » remis au Premier ministre par M. le député Raphaël Gauvain en 2019.
e. Un nouvel équilibre sur la question de la conservation généralisée des données de connexion
i. Un encadrement croissant par le droit européen
La conservation des données de connexion des utilisateurs par les opérateurs de communications électroniques pose évidemment la question centrale du juste équilibre entre protection des données et nécessité, pour lutter contre la criminalité grave et le terrorisme, de les conserver pour les exploiter utilement.
Le droit de l’Union européenne a encadré de façon croissante les possibilités de conservation des données des utilisateurs. Ainsi que l’a rappelé le Pr Thibault Douville, « cette dynamique jurisprudentielle trouve son origine dans la directive européenne de mars 2006 sur la conservation des données de communications électroniques [...] [qui] prévoit la conservation généralisée d’un certain nombre de données liées aux communications électroniques, qu’il s’agisse de données d’identification des utilisateurs ou de métadonnées ». Dans un arrêt « Digital Rights » en date du 8 avril 2014, la Cour a en effet invalidé cette directive en affirmant le principe de l’interdiction du stockage et de la conservation généralisée de l’ensemble des données de connexion. Elle s’est appuyée, à cette fin, sur le fait que la directive de 2006 « n’opérait aucune différenciation entre les différents objectifs poursuivis par le législateur : la conservation des données était déconnectée du but poursuivi, soit de prévention d’atteinte à la sécurité publique ou de lutte contre la criminalité grave » ([90]).
La Cour de justice de l’Union européenne s’est à nouveau prononcée sur ce sujet, à l’occasion de ses arrêts Tele2 et La Quadrature du Net, « en reprenant des solutions similaires et en apportant des précisions quant à ces arrêts antérieurs ». Elle a notamment mis en avant, à cette occasion, « une échelle de mesures pouvant être adoptées selon le but poursuivi : lutte contre le terrorisme, lutte contre la criminalité grave ou protection de la sécurité publique. En fonction du but poursuivi, les mesures de conservation des données varient : elles peuvent être des mesures de conservation généralisée mais temporaire, des mesures de conservation ciblée et temporaire, des mesures de conservation uniquement des données d’identification des utilisateurs. Les solutions apportées par les différents arrêts ne sont qu’une application de l’exigence de proportionnalité entre la protection des données, d’une part, et le but poursuivi, d’autre part » ([91]).
ii. L’arrêt « French Data Network » : un équilibre subtil qui maintient la possibilité d’une large collecte des métadonnées des utilisateurs
Cette question a enfin connu une actualité importante et récente, à la suite de l’arrêt de l’assemblée du contentieux du Conseil d’État « French Data Network » en date du 21 avril 2021, qui est venu concilier les règles nationales et le droit européen dans cette matière, via une interprétation neutralisante de la portée de la jurisprudence de la Cour de Justice de l’Union européenne.
Le Conseil d’État a en effet opté pour une solution audacieuse consistant à annuler de façon limitée un certain nombre de textes réglementaires, pour des raisons tenant à leur absence de proportionnalité (sur le périmètre des données collectées dans certaines circonstances) ou à l’absence d’avis « contraignant » pour les activités de renseignement ([92]), sans néanmoins mettre fin à la collecte des données de connexion stricto sensu.
Le raisonnement du Conseil d’État s’effectue en plusieurs étapes.
Le Conseil d’État a refusé, d’abord, d’exercer un contrôle de l’ultra vires, c’est-à-dire du respect par les organes européens de leur compétence, dans un esprit de conciliation vis-à-vis des institutions européennes. Il a néanmoins réaffirmé, en même temps, la primauté de la Constitution dans l’ordre juridique interne.
Il a ensuite estimé, dans le cas d’espèce, que les exigences constitutionnelles que sont la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales ne bénéficiaient pas, en droit européen, d’une protection équivalente à celle que garantit la Constitution, et qu’un contrôle de leur bon respect par les règles du droit européen s’imposait en conséquence.
À l’issue de son contrôle, le Conseil a considéré que la conservation généralisée des données existant en droit français est bien justifiée par une menace pour la sécurité nationale, conformément à la jurisprudence de la Cour de Justice de l’Union européenne.
Pour la poursuite des infractions pénales, le Conseil d’État a jugé en revanche illégale l’obligation de conservation généralisée des données, tout en relevant, pour ces infractions, que la solution « suggérée » par la Cour de Justice de l’Union européenne concernant la conservation ciblée des données de connexion pose des difficultés « [n’était] ni matériellement possible, ni – en tout état de cause – opérationnellement efficace. En effet, il n’est pas possible de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise ». Les juges ont relevé, en revanche, que « la méthode de « conservation rapide » autorisée par le droit européen », permettait de « s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales ».
La solution dégagée revient, comme le résume, le Pr Bertrand Brunessen, professeur à l’Université Paris I, à estimer que « les données de connexion étant de toute façon conservées au titre de la sécurité nationale, la question de la conservation (ciblée ou non) ne se pose plus, en pratique pour les enquêtes pénales puisque, de fait, l’autorité judiciaire est en mesure d’accéder à ces données. Ainsi, « aussi longtemps que » les questions de sécurité nationale justifieront la conservation généralisée de ces données, la question de la conciliation entre le droit de l’Union et le droit constitutionnel ne se posera pas en pratique ». Ainsi que le relève le Pr Bertrand Brunessen, cette solution « a le mérite de temporiser une situation, qui, de toute façon, est appelée à évoluer avec l’adoption proche du Règlement e-privacy » ([93]).
Cette solution devrait donc conduire les pouvoirs publics à actualiser le cadre réglementaire existant, en maintenant la possibilité de conserver les métadonnées, mais en prévoyant un périmètre et des modalités conformes au droit européen et un contrôle mis en œuvre par une autorité indépendante lorsqu’il s’agit de données conservées à des fins de renseignement. L’avis de la commission nationale de contrôle des techniques de renseignement (CNCTR) sur ce sujet n’était en effet pas contraignant jusqu’à ce jour, même si, comme le relève le Conseil d’État « en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion ».
Votre rapporteur considère que la solution dégagée semble équilibrée et devrait permettre une juste conciliation entre les impératifs de sécurité et de protection des données. Il prend note, néanmoins, des choix différents qui ont pu être effectués par d’autres pays voisins, et souhaite rappeler en conséquence l’impérieuse nécessité de conserver un dialogue fructueux entre juges nationaux et juges européens sur cette question complexe.
B. Faire du numérique un levier de simplification et d’émancipation individuelle
1. Mettre en place rapidement une identité numérique pour les citoyens
La mise en place d’une identité numérique présente des enjeux évidents en termes de souveraineté numérique. Comme l’a rappelé le Pr Thibaut Douville, l’identité numérique « traduit [en effet] l’aptitude des États à exercer leur souveraineté numérique ». L’État étant « le détenteur naturel de l’identité de tous ses concitoyens [puisqu’il] a le monopole de l’émission des titres d’identité », il a dès lors « naturellement vocation à proposer une solution d’identification électronique à ses citoyens [pour] favoriser l’émergence d’un socle de confiance en ligne et réaffirmer sa place dans l’environnement numérique » ([94]).
a. Un outil utile pour simplifier et sécuriser la vie numérique des citoyens
L’identité numérique, c’est-à-dire « la capacité à utiliser de façon sécurisée les attributs de son identité pour accéder à un ensemble de ressources » ([95]) au sein de la sphère numérique, est un prérequis indispensable pour garantir un niveau de confiance élevé des citoyens dans le numérique. Cette technologie doit en effet permettre à chacun de bénéficier à la fois d’un niveau de sécurité adapté à ses usages et d’une plus grande simplicité dans sa vie quotidienne numérique. Les usages de l’identité numérique seront en effet variés, aussi bien publics (disposer d’un document d’identité, voter en ligne, accéder à différents services en ligne dans les domaines de l’éducation, de la santé, de la justice, ou encore des aides sociales) que privés (souscrire à une ligne téléphonique, ouvrir un compte bancaire par exemple).
Dans le contexte de la crise sanitaire, force est de constater que l’utilité d’une solution d’identité numérique régalienne n’a jamais été aussi évidente. La disponibilité d’une telle solution offrirait en effet de riches perspectives pour réaliser à distance nombre d’activités essentielles, d’une façon sécurisée. Ainsi que l’a relevé Mme Valérie Peneau, directrice du programme interministériel France Identité numérique, à terme « rien ne s’opposera, [par exemple] à ce que l’identité numérique soit interfacée avec un système de votation. Un tel système est d’ailleurs prévu concernant les élections professionnelles ainsi que le vote des Français de l’étranger. Je pense que le Conseil constitutionnel devra toutefois se prononcer sur cette évolution » ([96]).
Votre rapporteur considère donc que l’identité numérique offre de nombreuses possibilités pour simplifier un certain nombre de procédures et de pratiques. Son déploiement rapide est nécessaire, en outre, afin « d’opérer une transformation de l'État en mettant le citoyen au cœur de la transmission de ses données entre administrations » au bénéfice « [d’]une plus grande confiance dans le déploiement du numérique […] de[s] nouvelles technologies » ([97]).
b. Un programme interministériel national « France Identité numérique » qui s’inscrit dans une dynamique européenne
En France, un programme interministériel France Identité numérique a été mis en place en 2018 afin de créer une identité numérique régalienne. Comme l’a rappelé sa directrice, Madame Valérie Peneau, le lancement de ce programme correspondait à la nécessité d’accélérer « un processus qui avait connu plusieurs échecs par le passé, pour des raisons assez diverses. Cette nette accélération a été permise par le nouveau Règlement européen sur les cartes d’identité électroniques, les deux projets ayant été lancés de manière concomitante » ([98]). Son objet consiste, en pratique, à dériver une identité dans la sphère numérique à partir d’un document d’identité physique, de façon, simple, fiable et sécurisé, en recourant à une « interface cryptographique [faisant] le lien entre les données d’identité protégées dans la puce du titre et une application » ([99]). La proposition de valeur supplémentaire de ce projet, par rapport à FranceConnect (2016), qui offre déjà une forme d’identité numérique en ligne, réside dans « l’obtention d’une identité numérique très sécurisée », conformément à ce qui est prévu par le droit européen et notamment le règlement eIDAS ([100]) .
Le programme France Identité numérique s’inscrit plus globalement dans une dynamique européenne en faveur de l’interopérabilité et de la sécurisation des systèmes d’identité numérique nationaux. Lors de son audition, Mme Lorena Boix-Alonso, directrice chargée de la stratégie et de la diffusion des politiques à la Direction générale des réseaux de communication, du contenu et des technologies de la Commission européenne avait d’ailleurs rappelé que la question de l’identité numérique figurait au sein du programme de la Commission européenne avant de préciser que cette dernière entendait « faire une proposition qui vise à établir un cadre unique pour une identité numérique européenne qui soit universellement reconnue, sécurisée, fiable, et qui puisse être utilisée partout où nous nous identifions sur Internet. Cela ne signifie évidemment pas qu’elle remplacera les identités nationales, mais c’est quelque chose qui peut jouer un rôle fondamental. […] » ([101]).
La Commission européenne a présenté en ce sens, le 3 juin 2021, un projet de nouveau cadre européen relatif à la création d’une identité numérique européenne qui serait accessible à tous les citoyens, résidents et entreprises de l’Union. Ce nouveau portefeuille européen d’identité numérique sera accessible à toute personne souhaitant l’utiliser. Il offrira une multitude d’utilisations et garantira à l’utilisateur la maîtrise de ses données ([102]).
c. Un déploiement qui ne doit pas prendre davantage de retard
Le déploiement d’une solution d’identité numérique régalienne fait consensus au regard de la confiance que les citoyens accordent à l’État plutôt qu’aux acteurs privés dans ce cadre. Ces derniers ont néanmoins évidemment vocation à participer de l’écosystème de l’identité numérique ([103]).
Votre rapporteur soutient évidemment ce projet majeur pour la transformation numérique de notre pays. Il note que les collectivités territoriales y sont également très attachées, comme l’a indiqué, par exemple Mme Valérie Nouvel, vice-présidente du département de la Manche, « le projet d’identité numérique renforcée peut nous [les départements] permettre d’être rapidement des champions en matière de souveraineté numérique, en conjuguant nos talents entre État et territoires. […]. [Il] conjugue en effet à merveille souveraineté numérique et inclusion numérique. Lancer ce chantier est pour nous une priorité absolue ». Mme Valérie Nouvel avait néanmoins regretté, à cette occasion, le fait que ce même projet « peine à progresser au niveau français […] [étant] souvent perçu comme une charge par l’État, tandis que les départements le voient comme une recette » ([104]).
Votre rapporteur ne peut malheureusement que partager son constat : la France accuse un retard important en matière d’identité numérique par rapport à ses partenaires européens, ce qui est regrettable. Celui-ci peut s’expliquer en partie, certes, par les échecs que ce projet a connus précédemment ([105]). Il convient néanmoins de ne pas relativiser la situation actuelle, qui démontre, une nouvelle fois, la difficulté, pour l’État, de mener à bien des projets numériques d’ampleur pour des raisons tenant à la défiance existant vis-à-vis du numérique et au manque de maîtrise technique des acteurs publics sur des sujets aussi complexes.
Votre rapporteur relève qu’à l’heure actuelle, la France n’a toujours pas notifié son schéma d’identité numérique alors que les autres États membres de l’Union européenne « ont souvent pris de l’avance, certains d’entre eux ayant déjà été notifiés à la Commission européenne » ([106]). En outre, le calendrier initialement envisagé, qui devait permettre de déployer conjointement, à partir de l’été, une solution d’identité numérique effective avec la nouvelle carte d’identité électronique, ne sera pas respecté. Ce constat vient confirmer les inquiétudes formulées par les députés M. Jean-Michel Mis et Mme Christine Hennion dans un courrier en date du 22 mars 2021. Ce retard a été confirmé par Mme Valérie Peneau, qui a admis ne pas encore disposer « du système d’information permettant d’exploiter cette dimension de l’identité numérique […] un décalage de quelques mois [étant] attendu ». Mme Valérie Peneau a néanmoins indiqué que ledit décalage « se retrouve dans les autres pays européens, où les cartes sont en général distribuées dans un premier temps, avant d’être accompagnées d’une offre numérique ». Plusieurs éléments en sont les causes, selon elle, dont « le fait que [le programme FUN] fait l’objet de recommandations de la part du Conseil national du numérique et de la mission parlementaire ad hoc de Mme Christine Hennion et de M. Jean-Michel Mis, qui ont déjà expertisé le projet » ([107]), ce qui a conduit à complété le cahier des charges concerné.
Votre rapporteur considère que l’absence de déploiement simultané de la carte nationale d’identité électronique (CNIe) et d’une solution d’identité numérique effective est extrêmement préjudiciable dans un contexte de retard persistant de la France sur ses voisins européens dans ce domaine et pour les citoyens français. Votre rapporteur invite les pouvoirs publics à redoubler leurs efforts pour que cette mise en œuvre soit la plus rapide possible.
Proposition n° 10 : Accélérer le déploiement de l’identité numérique en France.
Votre rapporteur estime, en outre, que ces difficultés sont tout à fait symptomatiques des limites réelles de la capacité de l’État à mener dans des conditions satisfaisantes des projets numériques de grande envergure, ce qui n’est pas satisfaisant. Une prise de conscience de ces carences est indispensable pour réformer les difficultés structurelles qui en sont la cause.
Proposition n° 11 : Engager une stratégie ambitieuse de montée en compétences au sein de l’État sur la gestion de projets numériques afin de ne pas répéter les erreurs du passé.
d. Des interrogations légitimes sur certains choix techniques
Au-delà du retard de déploiement d’une identité numérique utilisable par les citoyens français, les auditions ont fait apparaître l’existence d’un doute sur la capacité de l’État à proposer une carte d’identité électronique qui soit « à l’état de l’art » au regard des technologies disponibles. M. Cosimo Prete, dirigeant de l’entreprise CST + ([108]), a ainsi trouvé « surprenant que la France ne soit pas capable de mettre en œuvre les meilleures solutions présentes sur son territoire » et estimé que « la moyenne d’âge des éléments de sécurité actuellement embarqués sur notre titre sécurisé dépasse la dizaine d’années, alors qu’il a paradoxalement été préconisé de limiter la durée de ce titre à dix ans, pour des raisons de sécurité ». M. Prete a cité plusieurs exemples à l’appui de son propos, dont le choix d’une photo d’identité en noir et blanc « fournie par une solution américaine, alors qu’IDEMIA ou Thales sont capables de produire une photo en couleur depuis plusieurs années », et le recours à un « cachet électronique visible (CEV), qui date d’il y a une dizaine d’années, alors qu’il serait possible de recourir à une norme universelle interopérable » ([109]) . Le recours à des solutions technologiques non-européennes ne saurait en effet se justifier que par des écarts de performance importants.
Votre rapporteur prend acte des réponses apportées par les représentants de l’Agence nationale des titres sécurisés (ANTS) et de l’Imprimerie nationale (IN group). Mme Anne-Gaëlle Baudouin-Clerc, directrice de l’Agence nationale des titres sécurisés a en effet précisé que ces modalités techniques avaient fait l’objet d’un « choix assumé » et correspondaient notamment aux demandes des forces de l’ordre pour ce qui concerne la photo d’identité présente sur la CNIe. Concernant le cachet électronique visible, Mme Anne-Gaëlle Baudoin-Clerc a néanmoins indiqué avoir « conscience que, pour l’Imprimerie nationale, le passage à la norme 105 aura des conséquences industrielles, notamment de modification de sa plateforme » et estime que « la situation a vocation à évoluer » dans la mesure où « parvenir à utiliser la norme 105 pour le pass sanitaire présentera un véritable intérêt », même si « la norme 105 a besoin [pour l’heure] de conforter sa gouvernance, ainsi que de clarifier ses conditions de sécurité et de souveraineté » ([110]).
Pour sa part, le directeur des affaires publiques d’IN Group, M. Romain Galesne-Fontaine a démenti « un quelconque défaut de maîtrise technique [de] l’Imprimerie nationale [qui] peut parfaitement produire des titres en polycarbonate qui contiennent de la couleur », l’Imprimerie nationale ayant mis en œuvre cette technique « à l’occasion de son partenariat avec le gouvernement monégasque ». M. Romain Galesne-Fontaine a également ajouté que « 90 % de la centaine de pays qui, dans le monde, émettent des titres d’identité en polycarbonate, utilisent le système de gravure laser en tons de gris au cœur de la carte, choisi pour la CNIe française » ([111]) .
Il n’appartient évidemment pas à la mission d’information de trancher des débats aussi techniques ressortant de l’appréciation légitime d’acteurs spécialisés. Votre rapporteur considère néanmoins qu’il est possible de s’interroger, au regard de la configuration actuelle de l’ANTS, et de ses moyens pour expertiser les solutions techniques, sur le risque d’un renversement des rôles entre l’ANTS, qui est censée être le donneur d’ordre, et l’Imprimerie nationale, qui doit répondre à ses exigences. De toute évidence, il existe des difficultés pour conserver des acteurs aux compétences avancées au sein de cette agence, pour des raisons tenant à l’attractivité perçue des missions proposées et au niveau de leur rémunération.
Dans ces conditions, votre rapporteur prend acte des efforts consentis par l’ANTS pour améliorer son attractivité. Il estime néanmoins que ceux-ci doivent être amplifiés pour lui permettre de réaffirmer sa complète capacité à jouer le rôle qui lui est dévolu, et à effectuer, sur ce type de projets, l’ensemble de ses choix en pleine connaissance de cause. Il plaide en conséquence pour la poursuite de l’accroissement de ses effectifs, revalorisés de six équivalents-temps-plein cette année. Il souhaite enfin insister sur l’importance du travail de veille technologique qu’elle doit pouvoir effectuer, afin d’être en état de « challenger » les choix techniques qui lui sont proposés lors des échanges menés avec ses différents interlocuteurs. Ces derniers ne sauraient être guidés par tout autre considération que celle d’offrir la meilleure garantie de sécurité possible pour les citoyens français.
e. Des difficultés symptomatiques dont il faut vite tirer les leçons
En définitive, votre rapporteur souhaite insister sur plusieurs points.
L’État, d’abord, doit améliorer sa capacité à attirer les compétences techniques afin que ses projets numériques puissent être menés dans les meilleures conditions possibles. Le turnover important qui peut concerner un certain nombre de projets numériques, dont celui sur l’identité numérique, est très préjudiciable au succès de ces initiatives, en raison des pertes de compétences qu’il génère dans des domaines ultra spécialisés. Cette question doit être au centre des préoccupations des décideurs publics.
Il est donc indispensable que l’État mène des actions spécifiques pour améliorer sa maîtrise technique des projets numériques en recrutant des profils techniques par contrat de droit privé et en fidélisant ce précieux public. Les conditions d’emploi proposées dans ce cadre doivent être attractives en termes de rémunération et de conditions de travail.
Proposition n° 12 : Renforcer le recrutement par contrat de droit privé de profils techniques, pour mener à bien les projets numériques de l’État et mettre en œuvre une stratégie de fidélisation pour les conserver au sein de la sphère publique.
Il convient, en outre, de mettre en place en son sein une doctrine « de la circulation des compétences » afin d’offrir des débouchés à ces profils fortement demandés.
Proposition n° 13 : Favoriser la circulation des compétences numériques au sein du secteur public.
Sur la mise en place d’une identité numérique, stricto sensu, un vrai travail de communication est nécessaire dans la mesure où cette question reste encore assez méconnue des citoyens français. Cette action reste encore largement à mener. Dans un contexte où la France est déjà en retard par rapport à ses voisins européens, on ne saurait sous-estimer les réticences qui pourraient se faire jour à l’occasion du déploiement effectif de l’identité numérique. Ce travail de communication doit également être réalisé à destination des acteurs privés, afin que ceux-ci puissent connaître « les règles du jeu » et le positionnement du Gouvernement sur le modèle économique de l’identité numérique.
Proposition n° 14 : Lancer une grande campagne de communication sur l’identité numérique.
Ce travail de communication devra être accompagné, à terme, d’une proposition d’accompagnement sur demande à l’utilisation de l’identité numérique, qui peut prendre des formes variées. À titre de simple illustration, en Estonie, ainsi que l’a présenté M. Arnaud Castaignet, directeur de la communication et des affaires publiques de Skeleton Technologies, ancien directeur des relations publiques du programme e-Residency du gouvernement estonien, « lors du lancement de l’identité numérique, l’État estonien a décidé de former à son utilisation 15 000 personnes, qui ont chacune formé à leur tour dix de leurs concitoyens. L’idée de former les Estoniens tout au long de leur vie joue de ce point de vue un rôle clé » ([112]). Cet enjeu doit être, dans tous les cas, anticipé en amont, pour garantir une inclusion aussi forte que possible.
Enfin, comme l’avaient déjà indiqué nos collègues Mme Christine Hennion et M. Jean-Michel Mis dans le rapport précité, il est indispensable de parier sur le dynamisme des collectivités territoriales, qui souhaitent pouvoir expérimenter l’identité numérique mais ont le sentiment, pour certaines, de ne pas avoir été entendues par l’État.
2. Créer une relation de confiance entre l’administration et les citoyens
Le déploiement d’une identité numérique ne doit être que la première étape d’une ambition de simplification administrative inédite de nos modes de fonctionnement habituels. Il faut en effet admettre, à l’heure actuelle, qu’en dépit des progrès indiscutables réalisés, le système administratif français conserve un niveau de complexité réel qui génère une défiance et un sentiment d’inefficacité. Dans ce domaine, les faits doivent désormais venir corroborer les discours régulièrement tenus sur la simplification administrative.
Votre rapporteur est convaincu que le numérique, sans être la « solution miracle », offre néanmoins un puissant levier de transformation des relations entre l’administration et les citoyens. Il considère que deux mesures pourraient représenter une vraie rupture perceptible par les Français dans la vie quotidienne : la création d’un guichet unique pour accéder à l’ensemble des services publics et la création d’un identifiant unique numérique.
a. Mettre en place un guichet unique d’accès à l’ensemble des services publics
La création d’un guichet unique pour accéder à l’ensemble des services publics en ligne est souhaitable pour simplifier de façon effective la vie des citoyens. Ce projet dépend évidemment du déploiement d’une identité numérique permettant de réaliser en ligne les usages les plus complexes, qui nécessitent un niveau de sécurité élevé.
Votre rapporteur considère que la France, dans cette démarche, pourrait s’inspirer d’exemples étrangers, en particulier de celui du Luxembourg. Lors de son audition, M. Marc Hansen, ministre du numérique du Grand-Duché, a ainsi indiqué qu’il existait, dans son pays, une « grande plateforme « guichet.lu », tenant lieu de guichet unique aux citoyens et aux entreprises souhaitant contacter les services publics par voie numérique ». Cette plateforme permet d’accéder à l’ensemble des services publics luxembourgeois, car elle héberge « un espace personnalisé « myguichet.lu », où chacun peut déposer aussi bien une demande de plaque d’immatriculation que de permis de pêche, par exemple » ([113]). Elle a été très utile pendant la crise sanitaire, ce que démontre son niveau de sollicitation inédit. Le nombre de démarches effectuées par son truchement est ainsi passé, en 2019, de 500 000 à plus de 1,8 million en 2020, en raison notamment des demandes d’aides ou d’appui des entreprises à destination du gouvernement luxembourgeois.
Proposition n° 15 : Créer un guichet numérique unique d’accès de chaque citoyen à l’ensemble des services publics, lui permettant aussi d’être informé en temps réel de l’utilisation de ses données par l’administration.
b. Créer un identifiant numérique unique pour chaque citoyen
Les auditions des ministres en charge du numérique de l’Estonie ou le Luxembourg font apparaître que l’ambition de simplification des procédures administratives ne pourra faire l’économie de la mise en place d’un numéro d’identification unique, afin de mettre fin aux difficultés que rencontrent les administrations pour identifier les administrés et partager leurs informations de façon efficace, sans avoir à solliciter à nouveau chaque citoyen pour récupérer des informations déjà disponibles.
Interrogé sur ce sujet, le secrétaire d’État chargé de la transition numérique, M. Cédric O, a relevé qu’à l’heure actuelle, le recours à cet identifiant unique était « interdit par la Commission nationale de l’informatique et des libertés (CNIL) » ([114]). Il s’agit là d’une position constante de cette autorité qui vise à éviter tout risque de création d’un fichier de population sur la base de cet identifiant. M. le secrétaire d’État a d’ailleurs indiqué que cette position était partagée par le Conseil d’État, qui « au moment de la discussion sur le numéro de sécurité sociale, qui est en fait le seul identifiant, a estimé que l’usage de cet identifiant devait rester proportionné et qu’il n’était pas possible d’avoir un identifiant unique de l’administration » ([115]).
En dépit de ces obstacles, et pleinement conscient du fait que « l’avantage [du modèle estonien est] de ne pas avoir été bâti sur une administration datant de plusieurs centaines d’années et ayant ses propres processus » ([116]) , votre rapporteur considère indispensable d’envisager la création de cet identifiant unique et de faire évoluer la perception de cet outil, en cantonnant le risque évoqué ci-avant par une complète transparence de l’administration sur l’utilisation des données des citoyens.
De ce point de vue, il est possible de s’inspirer, par exemple, du modèle luxembourgeois. M. Marc Hansen, ministre du numérique du gouvernement luxembourgeois, a ainsi indiqué que, dans son pays, les usagers de la plateforme unique d’accès à l’ensemble des services publics ont le droit de « savoir à tout moment quelles administrations ont eu accès, au cours des six derniers mois, à la partie qui les concerne du Registre national des personnes physiques répertoriant les données des Luxembourgeois ». En conséquence, « si un service public a consulté les données d’un citoyen, sans que celui-ci comprenne pour quelle raison, cette personne peut interpeller le service en question, auquel il revient de s’expliquer. Il arrive par exemple à un père ou à une mère de ne pas comprendre pourquoi une administration a consulté ses données à la suite d’une demande de bourse déposée par son conjoint, pour leur enfant étudiant. Nous attachons une importance extrême à la transparence et au respect des données personnelles » ([117]). Cette logique positive de responsabilité et de confiance pourrait être utilement mise à profit en France dans le domaine du numérique.
Proposition n° 16 : Créer un numéro d’identification unique afin de mettre fin aux difficultés rencontrées par les administrations pour identifier les administrés et partager leurs informations de façon efficace.
Proposition n° 17 : Développer une culture de la transparence vis-à-vis des données utilisées par la puissance publique dans le cadre de ses interactions avec les citoyens.
3. Former au numérique tous les citoyens dès le plus jeune âge
a. La maîtrise des savoirs numériques fondamentaux doit être une priorité
La formation aux compétences numériques doit être l’un des piliers d’une politique de souveraineté numérique. Chaque citoyen ne peut en effet rester maître de ses choix et vigilants face aux risques, que s’il maîtrise les codes du cyberespace. Ainsi que l’a résumé M. Edouard Geffray, conseiller d’État, directeur général de l’enseignement scolaire, « chaque citoyen doit se doter d’une culture numérique » ([118]). L’univers numérique suppose en effet « des modalités particulières d’exercice de l’esprit critique. La question des moyens de traduire nos valeurs dans le monde numérique se pose au quotidien. Chacun détient, en tant qu’utilisateur, un pouvoir, certes asymétrique mais toutefois réel, qu’il exercera comme il se doit, pour peu qu’il ait reçu une formation adaptée. Nous en revenons dès lors à la formation au numérique des élèves, qui suppose aussi bien une éducation aux médias d’information, via la lutte contre les fausses nouvelles, par exemple, qu’une formation plus technique » ([119]). Il faut en conséquence inculquer aux élèves « l’esprit critique, la capacité de distanciation et la connaissance des outils numériques, tels que l’Intelligence artificielle ou les algorithmes, pour qu’ils comprennent comment le monde se modélise et comment leur volonté peut s’en trouver influencée ». Cela revient à appliquer au numérique le précepte du positiviste Auguste Comte selon lequel « il faut savoir pour prévoir et prévoir pour pouvoir » ([120]).
La maîtrise des savoirs numériques va devenir, en outre, un élément de plus en plus différenciant sur le marché du travail, et dans la compétition économique entre les États. Cette primauté du capital humain numérique a été rappelée par M. Julien Nocetti, docteur en sciences politiques et chercheur associé à l’Institut français des relations internationales. Pour lui, il s’agit en effet de « l’un des aspects les plus sous-estimés de ces enjeux de souveraineté numérique » ([121]), qui doit être traité sous trois angles que sont sa formation, « la rétention de nos cerveaux » et enfin « l’enjeu de [leur] captation » ([122]). M. Julien Nocetti relève d’ailleurs que c’est « sur cet enjeu humain que la question du numérique prend une dimension quasi géopolitique, d’autant que nous l’avons trop longtemps sous-estimé, alors que les États-Unis peuvent s’enorgueillir d’une expérience extrêmement riche en la matière. Si l’Europe ambitionne de peser dans ce domaine et de s’affranchir, au moins partiellement, de ces formes de tutelle que je viens d’évoquer, elle doit nécessairement et urgemment répondre à cet enjeu de formation au long cours » ([123]).
L’enjeu de la « fuite des talents de haut niveau » ([124]) a été abordé à plusieurs reprises lors des auditions de la mission, notamment par M. Henri d’Agrain, délégué général du Club informatique des grandes entreprises françaises (Cigref).
Votre rapporteur considère, au regard des échanges menés, que la formation aux compétences numériques est une priorité du Gouvernement, comme l’indiquent, par exemple, les propos tenus par le secrétaire d’État à la transition numérique : « Dans le fond, je suis très optimiste sur cette question de la souveraineté numérique et de l’écosystème numérique ; en effet, je pense que la compétition mondiale pour la technologie est d’abord une compétition mondiale pour l’intelligence humaine. Or la France a cette intelligence humaine. Elle forme des ingénieurs, des chercheurs et des entrepreneurs parmi les meilleurs du monde. Il s’agit juste de les garder et qu’ils trouvent ici l’écosystème leur permettant de développer des entreprises qui seront demain parmi les meilleures du monde. Cela prendra un peu de temps mais elles y arriveront » ([125]).
Votre Rapporteur est convaincu que cet apprentissage doit être mis en œuvre dès le plus jeune âge et tout au long de la vie. Il est en effet indispensable que l’appareil de formation français soit en capacité de transmettre de façon efficace et actualisée les savoir-faire permettant aux citoyens de garder la maîtrise de leur vie en ligne et de ne pas subir l’apparition de nouveaux usages. En ce sens, on ne rappellera jamais assez que toute politique de souveraineté numérique ne peut exister sans des citoyens vigilants et informés sur le numérique. C’est le sens des deux propositions suivantes, qui visent à réaffirmer la nécessité de former chacun aux compétences numériques tout au long de sa vie.
Proposition n° 18 : Former aux compétences numériques dès le plus jeune âge et tout au long de la scolarité et de la vie professionnelle.
Proposition n° 19 : Former les citoyens aux gestes barrières face au risque cyber.
b. Un certain retard de la France vis-à-vis de ses partenaires européens
Le niveau de maîtrise des compétences numériques en France reste encore insuffisant à l’heure actuelle. La France ne se classe en effet qu’en 17e position en matière de « capital humain » en Europe d’après l’indice relatif à l’économie et à la société numériques 2020 publié par la Commission européenne, soit un positionnement en-deçà de la moyenne européenne.
Cette mauvaise diffusion des compétences numériques est préjudiciable non seulement aux jeunes générations, qui ont plus besoin de disposer d’un socle solide de savoir-être et savoir-faire dans ce domaine, mais aussi pour l’ensemble des citoyens, dans la mesure où le numérique risque, dans le cas contraire, de renforcer certaines inégalités.
Les auditions font apparaître un consensus sur l’existence d’un besoin de formation aux compétences numériques dans notre pays. Votre rapporteur ne peut en ce sens que souscrire aux propos tenus par le secrétaire d’État à la transition numérique, selon lequel la « seule manière de combattre les nombreuses dérives du numérique, sur les fausses informations, sur la haine en ligne ou sur la puissance des grandes entreprises d’Internet, est de former nos concitoyens. Il faut les faire progresser et progresser nous-mêmes car nos concitoyens ne sont pas les seuls à être en retard », mentionnant notamment le cas des « serviteurs de l’État [et] hauts fonctionnaire », avant d’admettre la nécessité d’une « accélération sur ce sujet » dans un contexte où « un Français sur trois manque de compétences numériques de base » ([126]).
Cette nouvelle étape à franchir doit s’appuyer sur les bases mises en place ces dernières années, tant en termes de formation aux compétences numériques que d’incitation à l’utilisation d’outils numériques pour renouveler les méthodes d’apprentissage.
c. L’effort de formation engagé par les pouvoirs publics doit être amplifié
L’approfondissement des apprentissages numériques est indéniable ces dernières années, ce qui doit être salué. Comme l’a rappelé M. Édouard Geffray, en effet, « tous les élèves de seconde suivent désormais, suite à la réforme du lycée, un enseignement commun en sciences numériques et technologie (SNT) d’une heure et demie par semaine » ([127]) . Une spécialité « nouvelles sciences de l’ingénieur » (NSI), créée en 2018 leur « est ensuite proposée à raison de quatre heures hebdomadaires en première et six en terminale. Le programme de cette matière fournit une approche assez complète du numérique, allant de la technologie (le code) à l’éthique (le traitement des données personnelles) en passant par la compréhension globale de cet univers » ([128]).
Une évaluation des compétences numériques des élèves intervient également à la fin du CM2 et en 6e. Le programme PIX permet ensuite de certifier le niveau des élèves en fin de troisième et de terminal afin de s’assurer qu’ils soient capables, au quotidien, « d’évoluer dans l’univers numérique en y exerçant leurs droits et devoirs et, partant, une forme de souveraineté » ([129]).
Enfin, l’apprentissage du code a également été introduit et renforcé dès l’école primaire (cycle 2 et cycle 3) ainsi qu’au collège (cycle 4) où l’on aborde ensuite les notions d’algorithmiques au sein des cours de mathématiques et de technologie. La programmation « est également enseignée, via divers logiciels, dont le plus connu reste Scratch » ([130]).
Sur ce dernier point, votre rapporteur ne peut qu’inviter les pouvoirs publics à prolonger leur effort, le code étant en définitive le nouvel alphabet du monde du numérique. Il nous faut donc nourrir l’ambition de rejoindre les pays les plus avancés dans ce domaine, c’est-à-dire les pays asiatiques et les États-Unis.
Proposition n° 20 : Développer l’apprentissage du code à l’école pour doter les élèves des fondamentaux de cet alphabet du monde numérique.
Il serait également extrêmement utile, dans cette optique, de développer l’esprit d’initiative dans ce domaine.
Ainsi que le relevait M. Alain Conrard, président de la commission digitale du mouvement des entreprises de taille intermédiaire (METI), « nous manquons cruellement de formations et d’actions d’information auprès des publics les plus jeunes, spécialement ceux des collèges et lycées […]. Au sens large du terme, l’innovation gagnerait à intégrer les programmes de l’enseignement secondaire » ([131]).
Cet apprentissage de l’innovation pourrait donc être intégré au sein de la formation initiale, de façon théorique et pratique.
Sur ce sujet, votre rapporteur considère que les propos tenus par M. Arnaud Castaignet, ancien directeur des relations publiques du programme e-Residency du gouvernement estonien, sont éclairants quant au chemin à suivre : « Le développement du modèle numérique estonien a véritablement commencé en ce qui concerne l’éducation, par le raccordement des écoles à Internet et la formation des enseignants à l’utilisation des technologies numériques, ce qui a favorisé une meilleure compréhension des enjeux du numérique et l’émergence d’une culture de l’innovation et de l’entrepreneuriat, dès le plus jeune âge. Il existe beaucoup de junior-entreprises dans les lycées, voire les collèges. Comme ces initiatives ont débuté voici plus de vingt ans, les premiers étudiants formés au numérique sont aujourd’hui adultes. Ainsi, une grande part de la population estonienne est davantage formée que dans d’autres pays aux outils numériques ([132]).
Il serait donc utile de faire évoluer les apprentissages technologiques du secondaire en ce sens, en s’appuyant sur l’existant, c’est-à-dire les enseignements technologiques actuellement mis en œuvre.
Proposition n° 21 : Développer la capacité des établissements scolaires à former les élèves aux enjeux de l’innovation et soutenir la création de projets numériques.
Votre rapporteur note qu’un effort important a également été consenti sur le volet formation des enseignants. En 2020, plus de 200 000 d’entre eux se sont formés, via la plateforme de formation continue Canopé. M. Jean-Marc Merriaux, inspecteur général de l’éducation nationale, directeur du numérique pour l’éducation, a indiqué que le confinement avait permis de lever des craintes concernant le recours aux outils numériques dans le cadre des pratiques d’enseignement. Ainsi, alors que l’Éducation nationale répond à la règle de trois tiers qui prévaut en matière de transformation numérique, à savoir un tiers d’acteurs compétents et ouverts aux usages du numérique, un tiers d’hésitants, et un dernier tiers d’acteurs hostiles à ces évolutions, une étude d’un laboratoire de recherche attaché à l’université de Rennes et spécialisé dans le numérique et l’éducation a démontré que « plus de 50 % des enseignants se déclaraient prêts à utiliser le numérique dans leur classe après le confinement ». L’Éducation nationale a développé en outre « sur la plateforme PIX, des modules spécifiques proposant aux professeurs des tests autonomes de positionnement, dans l’idée d’encourager, tout en la suivant, l’évolution de leurs compétences numériques tout au long de leur carrière » et se fixe comme objectif, à terme, « d’utiliser PIX pour certifier les compétences numériques des enseignants à l’issue de leur formation initiale » ([133]) et d’atteindre en outre 250 000 enseignants formés chaque année via la plateforme de formation à distance M@gistère.
La diffusion du numérique au sein des pratiques d’enseignement semble actuellement en bonne voie. Selon l’enquête PROFETIC, qui porte sur les pratiques des enseignants en matière de numérique éducatif, 9 enseignants sur 10 reconnaissent les bénéfices pédagogiques du numérique et l’utilisent pour préparer leurs cours dans le premier degré, et plus de 92 % des enseignants du second degré l’utilisent pour construire des séquences d’activités en classe ([134]), notamment grâce au déploiement des espaces numériques de travail (ENT).
Toutes ces initiatives doivent être poursuivies et amplifiées pour fournir aux futurs citoyens les clés du monde numérique et aux entreprises des salariés disposant d’un socle satisfaisant de compétences numériques. Il existe en effet encore des carences sur ce dernier point. C’est le sens du propos de M. Henri d’Agrain, délégué général du Cigref, qui invite en effet les pouvoirs publics à « ne pas baisser le niveau d’exigence de la formation des ingénieurs, notamment ceux orientés vers les métiers du numérique » et relève que les efforts menés doivent être approfondis puisqu’à l’heure actuelle, « le nombre d’élèves qui choisissent, en fin de seconde, la spécialité « Numérique et sciences informatiques (NSI) » est assez faible et très peu de filles figurent parmi eux ». La spécialité NSI ne se trouve en outre, selon lui, pas en bonne position dans le cadre actuel où « l’une des trois spécialités de première est abandonnée en terminale. […]. Or ce sont ces étudiants qui, à travers Parcoursup, choisiront ensuite les voies de formation des métiers du numérique dans l’enseignement supérieur » ([135]). Il convient donc de prendre en compte ces critiques et de faire évoluer certains paramètres le cas échéant.
4. Former les salariés aux savoir-faire numériques généraux et avancés
a. Un impératif alors que la France est aussi en retard dans ce domaine
La formation des salariés aux savoir-faire numériques généraux et avancés est un levier indispensable pour numériser notre économie « par le bas » et faire en sorte que le numérique soit un vecteur de progrès. Comme l’a rappelé M. Bruno Sportisse, président-directeur général de l’Institut national de recherche en sciences et technologies du numérique (INRIA), défendre la souveraineté numérique implique impérativement de « s’assurer un vivier de talents et de compétences. La transformation numérique ne se réussira pas autrement. […]. [L]’enjeu de la formation initiale et continue [..] constitue […] la clé de voûte de toute politique à mener dans ce domaine » ([136]).
Sur ce sujet, en dépit des progrès réalisés, la France accuse un certain retard. Dans son rapport présenté pour le lancement du Pacte productif 2025, le Gouvernement relevait ainsi que : « la numérisation de la société française progresse mais doit être accélérée. Nos entreprises et notre administration ont pris du retard dans la numérisation. En 2019, la France n’était que 15ème sur 28 dans le classement de la Commission européenne relatif à l’économie et la société numériques. Seulement 15 % des entreprises françaises utilisent le cloud contre 18 % en moyenne dans l’Union européenne. On compte par ailleurs 132 robots pour 10 000 personnes dans l’industrie manufacturière en France : il y en a 1,4 fois plus en Italie et 2,3 fois plus en Allemagne. » ([137]).
Ce constat d’une forme de retard français a été largement partagé par les différents acteurs auditionnés par votre rapporteur. Il a été résumé utilement par M. Renaud Vedel, préfet, et coordinateur de la stratégie nationale pour l’Intelligence artificielle : « En ce qui concerne la formation, nous n’avons encore parcouru qu’entre un tiers et la moitié du chemin, au regard de la transformation et de l’émergence des formations qu’exige la vague technologique. La formation ne doit pas reposer uniquement sur la formation initiale, bien que de très importants efforts sont à fournir sur ce plan. Nous devons également revitaliser les connaissances ou procéder à l’entraînement de certains acteurs qui n’opèrent pas directement sur l’IA mais qui auraient la capacité d’investir le sujet. Dans le monde professionnel, il faut également que les fonctions comme les ressources humaines, le marketing, le business deviennent capables de comprendre et d’intégrer les systèmes d’IA dans leurs façons de raisonner » ([138]).
M. Renaud Vedel a néanmoins relevé, en même temps qu’un « important effort [est en cours] de ce point de vue » et que « l’offre de formation s’étoffe grandement » ([139]).
Comment la demande de compétences numériques requises a-t-elle évolué entre 2012 et 2018 ?
Les travaux de Pôle Emploi et de France Stratégie indiquent que les compétences numériques sont en train de devenir un facteur de plus en plus différenciant entre les salariés, entreprises et secteurs d’activité.
La maîtrise des systèmes informatiques et de télécommunications (conception et exploitation), l’usage et le paramétrage de logiciels et l’installation d’infrastructures numériques, sont ainsi parmi les premières compétences en croissance, traduisant la hausse continue des métiers de cadres. Elles sont, en effet, particulièrement mobilisées par les professions de l’informatique et des télécommunications (ingénieurs et cadres de l’industrie, du bâtiment, des transports) et les cadres administratifs, financiers et commerciaux dont l’emploi continue de progresser.
Selon l’OCDE, ces compétences numériques complexes vont prendre à l’avenir de l’ampleur dans l’économie, en raison des besoins croissants en matière de maintenance des structures informatiques et de télécommunication et de sécurité et protection informatiques.
Source : France Stratégie Pôle Emploi, Cartographie des compétences par métiers, La note d’analyse, n° 101, mai 2021.
Il est donc indispensable d’augmenter les capacités de la France à former massivement les salariés aux compétences numériques. Cela implique, en pratique, de bien comprendre la nature de la « demande de compétences » émanant des acteurs privés pour orienter de façon efficace le système de formation professionnelle.
b. Une demande accrue de compétences numériques générales et spécialisées
Les besoins en compétences numériques déclarés par les employeurs sont variés. D’après les enquêtes annuelles « Besoins en main-d’œuvre (BMO) » réalisées par Pôle Emploi, les employeurs recherchent à recruter des salariés disposant de plus en plus à la fois de compétences numériques classiques (maîtrise des usages bureautiques de l’ordinateur, dans ses principales fonctions (messagerie, traitement de texte, tableurs, recherche d’information sur Internet) mais aussi de compétences expertes ou spécialisées, même lorsque le métier proposé n’a pas de lien direct avec le secteur du numérique. Cela témoigne d’une prise de conscience, au sein des entreprises, en particulier pour les plus grandes, de la valeur ajoutée que le numérique peut apporter à leur activité (via la maîtrise par le salarié d’un logiciel spécialisé, de la configuration de logiciels, programmation, ou encore de l’utilisation de machines automatisées ou de robots).
Ainsi que l’indique l’étude de Pôle Emploi « pour un même métier, les établissements de moins de cinq salariés ont davantage d’exigences à l’égard des compétences numériques de base ou de compétences plus pointues et spécifiques (savoir configurer des logiciels spécialisés, savoir produire du code informatique). Ces exigences s’inscrivent dans une demande de polyvalence plus importante des salariés. De même ces compétences sont davantage recherchées par les employeurs ayant des projets de recrutement portant sur des emplois durables. En revanche, pour un même métier, les compétences en matière de manipulation des robots et de machines automatisées sont plus demandées dans les établissements de plus de 100 salariés. La probabilité que cette compétence soit jugée indispensable dans ces grands établissements est multipliée par deux par rapport à un établissement de 10 à 19 salariés. Ce résultat est cohérent avec l’intensité d’utilisation des robots, plus importante dans les grandes entreprises. » ([140]).
En fonction du caractère indispensable, utile ou superflu pour les employeurs des compétences numériques, six groupes de métiers peuvent être distingués :
– les métiers avec un usage limité des outils numériques ;
– les métiers concernés par la conduite de machines automatisées ;
– les professions pour lesquelles la maîtrise d’outils spécialisés liés à l’activité de travail est demandée ;
– les métiers à forte intensité numérique ;
– les métiers à compétences numériques expertes ;
– les informaticiens et professionnels des télécommunications.
Le tableau présenté ci-dessous, décline pour ces catégories le type de compétences attendu et leur niveau de criticité.
Compétences numériques et métiers : une demande forte – des besoins variÉs selon les secteurs d’activitÉ
Source : Pôle emploi, Quand les entreprises expriment leurs besoins de compétences numériques nouvelles, Éclairage et synthèses, n° 64, janvier 2021.
Les conclusions qu’il est possible d’en tirer, et qui sont largement partagées par les acteurs auditionnés sont les suivantes : le numérique impactera l’ensemble des métiers, même de façon ponctuelle. Il est donc impératif d’anticiper ces changements rapides en proposant des formations spécifiques à l’ensemble des salariés pour éviter que des barrières de compétences ne se créent et ne viennent renforcer les inégalités existantes sur un marché du travail déjà fortement polarisé.
c. Des pouvoirs publics qui se sont saisis de cette problématique
Il est incontestable que les pouvoirs publics ont pris la mesure de cette question, en mettant en place un certain nombre d’initiatives positives.
Un plan pluriannuel (2018-2022) d’investissement dans les compétences (PIC) a été lancé en septembre 2017 avec plusieurs objectifs principaux, dont celui d’amorcer la transition digitale de l’État et de construire une société de compétences par la transformation profonde de l’offre de formation et l’identification des projets innovants.
Ce plan vise à anticiper les conséquences de la « révolution numérique » qui va, d’après les anticipations proposées, conduire « 50 % des emplois [à se transformer] dans les dix ans qui viennent », menacer de disparition 10 % à 20 % des emplois en raison de l’automatisation et de la désintermédiation des tâches entraînées par la robotisation ou le numérique, et, enfin, créer des tensions sur les populations les plus faiblement diplômées, puisqu’à l’heure actuelle « 40 % des actifs ayant un niveau inférieur au Bac occupent des métiers à fort risque d’automatisation contre 5 % des actifs diplômés de l’enseignement supérieur ».
Doté d’un montant de 14 milliards d’euros sur la période 2018-2022, composante du « grand plan d’investissements », le PIC est cofinancé par l’État et les entreprises via un financement dédié prévu dans le cadre de la loi du 5 septembre 2018 pour la liberté de choisir son avenir professionnel. Ce plan prévoit notamment le financement de 10 000 formations aux métiers du numérique, notamment par la Grande École du Numérique, accessibles à des publics peu qualifiés (« 10Knum »). Sa mise en œuvre est soutenue par le Haut-commissaire aux compétences et par France compétences.
France compétences
France compétences est un établissement public à caractère administratif créé en janvier 2019, en vue d’assurer le financement, la régulation et l’amélioration du système de la formation professionnelle et de l’apprentissage.
Placé sous la tutelle du ministre chargé de la formation professionnelle, France compétences a plusieurs missions :
– répartir les fonds mutualisés aux différents acteurs de la formation professionnelle et de l’apprentissage ;
– réguler la qualité de la formation ;
– émettre des recommandations sur les coûts, les règles de prise en charge et l’accès à la formation ;
– veiller à la bonne exécution de la réforme sur la formation professionnelle et de l’apprentissage.
France compétences joue également un rôle clé dans la transformation de l’offre de formation. En lien avec les branches, il participe à la construction des titres et des diplômes professionnels.
Doté d’une personnalité morale et d’une autonomie financière, France compétences est composée de cinq collèges représentant l’État, les organisations syndicales de salariés, les organisations patronales, les Régions et des personnalités qualifiées.
La convention d’objectifs et de performance de France compétences, conclue en avril 2020, qui fixe les orientations pour la période 2020-2022, a retenu comme premier axe stratégique celui de favoriser l’identification des besoins en compétences des personnes et des entreprises.
Source : site internet du ministère du Travail
En outre, plusieurs outils de dialogue entre les acteurs professionnels et l’État, qu’il s’agisse des contrats stratégiques de filières, ou encore des engagements de développement de l’emploi et des compétences (EDEC) comprennent des éléments liés aux enjeux de formation aux technologies numériques. Ces documents témoignent d’ailleurs souvent d’une réelle prise de conscience de ces enjeux dans le monde professionnel, comme le montre, par exemple, le constat commun des signataires de l’accord-cadre national d’engagement de développement de l’emploi et des compétences pour la branche de la métallurgie dans le cadre des mutations liées à la transition numérique, qui vaut pour toute démarche de formation professionnelle dans tout secteur d’activité : « Les liens entre introduction de technologies numériques et transformation du monde du travail sont très nombreux. Le numérique impacte les emplois, les métiers et les besoins en compétences, recompose l’organisation du travail et appelle à de nouvelles formes de collaboration. Aucun secteur professionnel n’échappe à ces transformations, qu’elles soient directement technologiques et/ou dans les usages, les modes de concurrence, le rapport au client, le renouvellement et l’adaptation des formations. Pour que ces évolutions soient porteuses d’emploi, des mesures d’accompagnement et d’anticipation sont nécessaires. » ([141]).
Lors de leur audition, les représentants de la confédération française de l’encadrement-confédération générale des cadres (CFE-CGC) ont, pour leur part, considéré que la consolidation des résultats des différents engagements de développement de l’emploi et des compétences réalisés dans les différentes filières et les différents secteurs d’activité permettront d’obtenir une vision complète de l’impact de la transition numérique sur l’emploi. Selon eux, « il s’avère complexe pour les entreprises de se projeter à cinq ou dix ans en matière de nouvelles compétences liées à l’Intelligence artificielle ou pour ce qui concerne les besoins qui seront les leurs à l’arrivée de jeunes salariés. Il convient donc de trouver cet équilibre entre le travail initial de prospective, mené par les organisations syndicales et patronales dans l’EDEC, et les propositions de formations aux nouvelles compétences » ([142]).
Dans leur état des lieux du marché du travail et enjeux pour la relance, France Stratégie et le Conseil d’orientation pour l’emploi insistent en outre sur la considération selon laquelle « la formation demeure une thématique prioritaire, pour toutes les parties prenantes. Celles-ci soulignent cependant des dysfonctionnements persistants dans les différentes dimensions : offre, institutions, financement, etc. Il existe de nombreuses structures de concertation et de très nombreux acteurs dans ce domaine de la formation professionnelle, mais pas de plan général susceptible de les coordonner. Les nombreuses priorités stratégiques de l’économie ne parviennent pas à se décliner clairement, ce qui favorise une vision adéquationniste de court terme sans d’ailleurs y parvenir, qui capte les financements au détriment du renforcement général des compétences au service d’un investissement dans les secteurs d’avenir. Les exercices de prospective des métiers sont antérieurs à la crise, et même si les initiatives sont nombreuses (campus des métiers et qualifications, comités d’orientation des grandes écoles, comités stratégiques de filières industrielles, etc.), il est difficile de stabiliser les priorités d’un plan général de développement des compétences à moyen et long termes, d’autant plus que de nouveaux besoins en ressources humaines découlent de la crise comme du Plan de relance. La formation professionnelle demeure donc une thématique prioritaire de l’agenda social, et il reste essentiel de mieux anticiper les besoins de main-d’œuvre au niveau territorial, pour mieux planifier les formations. » ([143]).
Ces différents éléments plaident donc en faveur d’un vrai effort de prospective, de lisibilité, et d’action dans le cadre de la formation professionnelle, pour proposer à chacun des modules dédiés lui permettant de gagner en maîtrise des technologies numériques.
Proposition n° 22 : Proposer dans le cadre de la formation professionnelle des modules dédiés aux technologies numériques.
d. Des domaines de formation à prioriser au regard de leur haut potentiel
La prospective des métiers prioritaires pour amplifier l’accélération de la numérisation conduit bien sûr à insister sur l’importance des formations dans les domaines de pointe que sont notamment la cybersécurité, l’Intelligence artificielle et la blockchain.
La cybersécurité constitue un premier domaine qui doit être au cœur des priorités françaises en termes de formation.
Lors de son audition par la mission d’information, M. Michel Van Den Berghe, président de la mission Campus Cyber a en effet indiqué que la France souffrait à l’heure actuelle « d’un manque de ressources en cybersécurité ». Face à une menace croissante, cette situation n’est pas tenable et comporte le risque, pour la France, de « dévisser » progressivement au sein des classements internationaux, alors qu’elle est pour l’heure relativement bien positionnée dans ce domaine.
La création d’un campus cyber est une réponse à cette problématique. Ce campus rassemblera en effet « plusieurs écoles pour pouvoir former plus de personnes dans [ce] domaine (…). Il a vocation à accueillir un ensemble de cyber-tech, d’acteurs de la formation numérique ainsi que l’ANSSI qui y sera également représentée pour rapprocher les différents acteurs de cet écosystème. M. Van Den Berghe a en outre précisé à votre rapporteur que « l’école pour l’informatique et les techniques avancées (EPITA) créera un bachelor dédié à la cybersécurité. »
S’agissant de la formation professionnelle continue, M. Michel Van Den Berghe estime que « les formations doivent en premier lieu mettre à niveau les professionnels de la cybersécurité par rapport aux nouvelles typologies d’attaque. Les pirates sont extrêmement créatifs et l’Internet des objets créera de nouvelles vulnérabilités. La 5G créera également de nombreuses possibilités de connexions d’objets et augmentera donc la vulnérabilité. Nous devons donc former les acteurs pour que les RSSI et les DSI soient mis à niveau. Nous essaierons en deuxième lieu de réaliser du rescaling d’ingénieurs réseaux, d’ingénieurs de production informatique, de développeurs, plutôt que de laisser chaque entreprise mener ce travail de façon artisanale en son sein, nous voulons structurer la démarche, en nous faisant aider, par exemple, par l’ANSSI, qui pourrait dispenser des formations. » ([144]).
Votre rapporteur salue la dynamique engagée dans ce domaine et invite les pouvoirs publics à poursuivre le déploiement de ce campus.
Proposition n° 23 : Poursuivre la dynamique de constitution d’un campus cyber.
ii. L’Intelligence artificielle
L’Intelligence artificielle constitue un second champ à investir massivement en termes de formation professionnelle.
L’Intelligence artificielle constitue, d’après le rapport de France Stratégie « Intelligence artificielle et travail », remis aux ministres en charge du travail et du numérique, en mars 2018, une forme de prolongement de la révolution numérique. Son développement offre un champ inédit d’usages et de possibilités, et devrait également conduire à automatiser un certain nombre de tâches. Le déploiement massif d’outils d’Intelligence artificielle favorisera, en outre, la diffusion des innovations, mais affectera évidemment les travailleurs, d’une façon différente selon la nature de leurs tâches.
En définitive, seul le rythme de diffusion de cette technologie reste incertain, car il dépend de considérations liées à l’automatisation, l’acceptabilité sociale, les compétences disponibles, les données disponibles ainsi que le cadre réglementaire. Comme l’indique en effet le rapport de France Stratégie précité : « Des outils d’Intelligence artificielle vont être déployés progressivement dans de nombreuses activités. Leur diffusion va entraîner des transformations du travail qui passeront par des transformations des tâches et des métiers, donc des besoins de formation. Le renforcement des mécanismes de contrôle permis par l’Intelligence artificielle pourrait engendrer de nouveaux risques pour les travailleurs : les adaptations devront donc nécessairement passer par le dialogue social. Le scénario souvent avancé d’une transformation radicale et massive du travail apparaît toutefois peu crédible. Dans quelques secteurs ou sous-secteurs, l’occurrence d’un scénario disruptif n’est néanmoins pas exclue. Sa matérialisation s’appuierait sur une conjonction de facteurs : la capacité de l’Intelligence artificielle à fournir un service nouveau ; une demande forte des utilisateurs ; un cadre réglementaire obsolète ; enfin une concurrence internationale et l’arrivée de nouveaux acteurs sur le marché » ([145]).
Il convient donc de conduire, à l’échelle de la branche ou de la filière, des travaux de prospective sur le potentiel de l’Intelligence artificielle afin d’assurer un bon niveau d’information et d’anticipation des acteurs.
Votre rapporteur considère que sur la formation, la France s’est engagée dans la bonne direction mais que l’effort mis en œuvre doit être poursuivi. Comme l’a rappelé M. Renaud Vedel à l’occasion de son audition, les ambitions de la stratégie nationale IA sont élevées puisqu’il s’agit, à terme, de « multiplier par deux, puis par quatre, le nombre de personnes formées, incluant des experts tels que des ingénieurs et des docteurs, mais pas seulement ». Votre rapporteur partage l’analyse de M. Renaud Vedel, selon laquelle « au cœur de la bataille mondiale sur cet enjeu de souveraineté de l’IA, nous nous apercevons de l’existence d’un goulot d’étranglement, malgré la qualité de nos écoles d’ingénieurs, amenant à une tension en ce qui concerne le nombre de profils ». Il convient donc d’encourager les doubles cursus thématiques, liant par exemple IA et santé, IA et agriculture, IA et industrie etc. Il sera également utile de pouvoir disposer d’un vivier « de techniciens d’un niveau DUT ou licence, car une fois qu’un système d’IA est développé, il convient d’en comprendre les limites, les règles éthiques de fonctionnement, les alertes et être capable de préparer les données. Ces tâches ne nécessitent pas en elles-mêmes un haut niveau d’expertise, mais requièrent cependant une formation particulière. » ([146]).
Cette dernière recommandation recouvre largement une proposition portée notamment par M. Nicolas Brien, directeur général de France Digitale, et que votre rapporteur soutient : faire des instituts universitaires de technologie (IUT) des centres d’excellence permettant à notre pays de disposer d’un vivier de techniciens du numérique.
Proposition n° 24 : Faire des instituts universitaires de technologie des centres d’excellence pour fournir à la France des techniciens numériques en nombre suffisant.
iii. La blockchain
Dans leur rapport, remis au gouvernement le 15 avril dernier, sur les verrous technologiques des blochchains, les chercheurs de l’Inria, du CEA-List et de l’Institut Mines-Télécom (IMT) ont dressé une cartographie des formations blockchain diplômantes dans l’enseignement supérieur en France.
Leur constat est celui d’une offre principalement localisée dans le bassin parisien (81 % des heures de formation), portant, à la fois, sur le cœur de la technologie blockchain et des formations techniques sur l’intégration d’une blockchain dans un système. Des formations en économie, finances et droit traitant de la problématique blockchain dans ces domaines complètent cette offre. La grande majorité des formations sont initiales (68 %), plus d’un cinquième en alternance. Les formations sont majoritairement dispensées en langue anglaise. Les comparaisons internationales font apparaître l’existence d’un faible nombre de cours technologiques orientés spécifiquement à cet égard dans les grandes universités, alors que les cours en finances, économie et droit sont nombreux. Cela démontre une claire appropriation du thème de la blockchain dans ces enseignements. Il reste qu’une petite proportion de programmes permet de former à l’ensemble des aspects de la technologie blockchain dans un cursus intégré. Il n’existe donc pas de retard proprement français.
Au total, les auteurs relèvent que l’offre de formation à la blockchain est en rapide développement, le système de formation académique en France n’étant pas en retard par rapport aux autres pays. Ils proposent, pour aller plus loin, de « mettre en place un ou des parcours de formation mêlant un éventail de dispositifs pédagogiques modernes avec du coaching lors de sessions pratiques (par exemple lors de coding bootcamp) dédiées. Les professionnels doivent également être impliqués dans cette démarche. Au final, dans l’enseignement de la technologie blockchain, il s’agit de construire une approche pédagogique variée et agile dont la finalité est l’accélération de la formation pour pallier le manque actuel de diplômés et pour mettre rapidement sur le marché de jeunes recrutés opérationnels. » ([147]).
Votre rapporteur considère que les pouvoirs publics doivent soutenir l’émergence de formations dans le domaine de la blockchain, afin de prendre de l’avance sur les autres pays. Les propositions de M. Rémy Ozcan, président de la Fédération française des professionnels de la blockchain (FFPB), pour faire de la France une « blockchain nation » pourraient être utilement étudiées. Ce dernier estime, en effet que « le ministère de l’éducation [nationale] devrait inciter écoles et universités à intégrer dans leur offre de formation des modules blockchains » et qu’il conviendrait « de délivrer des formations à tous les corps professionnels, aussi bien aux métiers du droit, à l’École nationale de la magistrature (ENM), qu’à ceux de l’immobilier », en adoptant « une approche par corps de métier » pour créer « une sensibilisation progressive à l’impact de la technologie blockchain pour chaque secteur » ([148]).
Proposition n° 25 : Accélérer le renforcement de l’offre de formation « blockchain » et soutenir la sensibilisation du monde professionnel au potentiel de cette technologie.
II. accÉlÉrer la numÉrisation de toutes les entreprises en valorisant notre ÉcosystÈme technologique
La crise sanitaire a démontré l’importance, pour les entreprises, de maîtriser les technologies numériques, dans un contexte où le numérique a conditionné la poursuite de leur activité à distance.
Le chemin à parcourir dans ce domaine est encore long puisqu’en 2019, près des deux tiers des TPE/PME n’avaient pas engagé de démarche de numérisation. Il existe, en outre, « un fossé » dans notre pays, comme l’a rappelé M. Jean-Noël de Galzain, président d’Hexatrust, organisation regroupant des start-up, des PME et des ETI spécialisées dans la cybersécurité, « entre les privilégiés du numérique et un certain nombre de PME, ETI, artisans, professions libérales, commerçants, mais aussi tout un nombre d’organisations publiques de santé et de collectivités locales, qui ne sont pas équipés comme il se doit. » ([149]).
L’accélération du recours aux outils numériques dans le cadre de la crise doit donc être mise à profit par les pouvoirs publics, alors que la France reste en retard sur la plupart des éléments de comparaison au sein des classements internationaux.
A. Numériser toutes les entreprises pour gagner en compétitivité et en efficacité
Selon la direction générale du Trésor, le degré de numérisation des entreprises françaises est comparable, dans une analyse globale, à celui observé en Europe, tant en ce qui concerne le recours à des outils numériques matures – progiciels de gestion, traitement automatisé des factures – que l’utilisation des technologies numériques comme le cloud, les données de masse ou l’Intelligence artificielle. En ce qui concerne le taux de robotisation, il est plus faible que dans d’autres pays européens mais considéré comme cohérent avec la structure sectorielle de l’économie et la population active ([150]).
Ce premier bilan appelle toutefois, dans le détail, plusieurs nuances. La direction générale du Trésor constate ainsi qu’en France comme dans le reste de l’Europe, les PME et a fortiori les TPE accusent, par rapport aux grandes entreprises, un retard dans l’adoption de toutes les technologies numériques, qui se traduit par une moindre connexion à l’Internet haut débit et très haut débit, un moindre recours aux logiciels de gestion, à la vente en ligne, au cloud et à l’analyse des données.
1. Une accélération de la numérisation pendant la crise mais un long chemin à parcourir, encore, pour les TPE et PME
La numérisation des entreprises, en particulier des plus petites, s’est accélérée en 2020, face à la nécessité, pour ces acteurs, de s’adapter aux contraintes de la crise sanitaire. Lors de son audition, Mme Bénédicte Roullier, directrice de France Num, a ainsi noté « une progression évidente est visible dans les baromètres réguliers de la fédération du e-commerce et de la vente à distance (Fevad) pour les volumes de vente en ligne », ainsi qu’une « nette progression des demandes de nom de domaine en « .fr » » d’après les indicateurs de l’association français pour le nommage d’Internet en coopération, ce qui traduit certainement « une augmentation de la présence sur Internet des TPE et PME ». La crise a eu logiquement « un impact positif de prise de conscience et constitue globalement une opportunité pour les filières numériques française, européenne et internationale, y compris pour les géants du Web (GAFAM) » ([151]). Mme Bénédicte Roullier a indiqué, en outre, que la crise sanitaire avait donné lieu à des « actions de débrouillardise » mises en œuvre par des TPE et PME, qui ont parfois improvisé un recours au « click and collect ou [à] différentes solutions permettant à leurs clients de commander à distance et de venir chercher leurs produits ». France Num a élaboré un guide à leur endroit, qu’elles ont pu utiliser lors du premier confinement.
Cette évolution positive, qui constitue un facteur de résilience pour ces entreprises, comme l’ont montré plusieurs travaux menés, notamment pendant la crise, par la Banque de France, ne doit néanmoins pas occulter le chemin qu’il reste à parcourir pour les petites entreprises en matière de numérisation. Il existe, en effet, comme le relève une étude de l’observatoire de l’emploi des cadres de l’Association pour l’emploi des cadres (APEC) sur la transformation numérique dans les PME publiée en mars 2019, un décalage persistant entre la diffusion d’usages numériques au sein de la population (sept consommateurs sur dix achètent et paient en ligne) et le niveau de maturité numérique des TPE et PME (une PME sur huit fait usage de solutions de vente en ligne), qui doit être résorbé.
D’après la même étude, on constate également un manque de structuration des projets de transformation numérique des TPE et PME. Nombre d’entreprises de cette taille mènent en réalité un projet informatique qui ne correspond pas à une véritable transformation. L’importance du diagnostic est trop rarement identifiée, ce dernier étant souvent réalisé en interne. Le niveau de maîtrise des enjeux numériques par les dirigeants d’entreprise reste, enfin, inégal, et les projets de numérisation d’une ampleur limitée (création d’un site Internet ou d’une page sur les réseaux sociaux etc.).
Le baromètre mis en œuvre par France Num permet de dresser un état des lieux de la numérisation des entreprises et de constater le chemin qu’il reste à parcourir au sein des TPE et PME. Ainsi que le relève Mme Bénédicte Roullier, ce baromètre indique que, sur la question des usages, « 68 % des TPE et PME sont aujourd’hui convaincues des bénéfices concrets du numérique », ce qui laisse près d’un tiers d’entreprises non convaincues. Ce taux de convaincus atteint, en outre, 72 % sur le thème de la communication avec les clients, « ce qui montre que le numérique appliqué à leurs problématiques leur parle, plutôt que le numérique en général » ([152]).
En matière d’équipements numériques, si « les dirigeants de TPE et PME sont des personnes très connectées [puisque] 88 % [d’entre eux] possèdent un smartphone, seuls 37 % de leurs entreprises ont un site Internet institutionnel ce qui semble être un chiffre très particulier à la France ». Les données de l’indicateur DESI 2020 démontrent globalement que « la France est en retard en visibilité Internet, globalement et plus particulièrement par rapport aux pays du Nord. Le chiffre est encore plus bas pour les sites de e-commerce, puisque seulement 9 % des entreprises avaient un site au début de l’année 2020 ». En revanche, « une spécificité de la France est que 40 % des entreprises ont un logiciel de gestion, ce qui nous met en tête du peloton européen. La France est donc assez faible en visibilité mais assez forte sur l’équipement en logiciel de gestion, ce qui est probablement lié à l’obligation – datant de 2018 ou 2019 – d’avoir un logiciel de caisse. Cette contrainte peut donc devenir un avantage pour les TPE et PME qui disposent ainsi de données de gestion » ([153]).
France Num estime le nombre de TPE et PME à accompagner dans une démarche de numérisation à 2,6 millions d’entreprises. Elle a commandé en outre aux cabinets de conseil Boston Consulting Group et Ernst et Young une étude sur la relation des dirigeants de TPE et de PME à la transformation numérique de leur activité, afin de mieux comprendre leurs différents profils.
Cette étude, comme l’a rappelé Mme Bénédicte Roullier, détaille cinq attitudes à l’égard du numérique et de son développement qui doivent être prises en compte pour adapter les politiques de soutien et d’incitation à la numérisation :
– les dirigeants de type « prudent », qui n’ont pas de perspective de développement, et sont peu à l’aise avec le numérique. Leurs priorités portent sur la diminution de leurs charges, la fidélisation des clients et la protection de la réputation de l’entreprise. Pour 59 % d’entre eux, le numérique ne présente pas de réel bénéfice pour l’entreprise, même si la moitié d’entre eux est consciente du fait que le numérique est un moyen de communiquer avec ses clients : 15 % ont un site Internet institutionnel et 21 % une présence sur les réseaux sociaux, 4 % utilisent des plateformes d’échange de documents en ligne. Ce segment est estimé à 390 000 entreprises, plus particulièrement dans les secteurs des services à la personne et du tourisme/hébergement ;
– les dirigeants de type « demandeur », qui, sans être à l’aise avec le numérique, ne s’estiment néanmoins pas en retard par rapport à leurs pairs. Leurs priorités sont d’augmenter leur base client, de fidéliser leurs clients et d’accroître leur production. Pour 71 % de ces dirigeants, le numérique représente un réel bénéfice pour l’entreprise, 44 % ayant un site Internet institutionnel et 51 % une présence sur les réseaux sociaux. Mais (trop) rares sont ceux qui sautent le pas : 8 % seulement ont un site marchand, 6 % vendent seulement sur des places de marchés. Ce segment est estimé à 705 000 entreprises, en zone rurale, dans les secteurs de l’agriculture et du commerce-artisanat ;
– les dirigeants de type « réceptif », qui sont relativement à l’aise avec le numérique, et ne ressentent pas de retard par rapport à leurs pairs. Leurs priorités sont d’accroître leur visibilité, d’augmenter leur base clients et de faire évoluer leurs offres de produits et/ou de services. Pour 80 % de ces dirigeants, le numérique apporte un bénéfice réel à l’entreprise. Leur équipement numérique et leur utilisation des outils numériques sont déjà marqués : 47 % ont un logiciel de gestion, 18 % un site marchand, 11 % vendent en ligne sur une place de marché, 20 % achètent des mots clés pour être mieux référencés par les moteurs de recherche, 25 % utilisent des plateformes d’échange de documents en ligne, 55 % sont présents sur les réseaux sociaux. Ce segment est estimé à 650 000 entreprises, surtout dans le secteur de l’industrie ;
– les dirigeants de type « statique » sont aussi relativement à l’aise avec le numérique, sans se sentir en retard par rapport à leurs pairs. Leurs priorités visent la fidélisation de leurs clients, la protection de la réputation et la conformité avec la réglementation. Pour 68 % de ces dirigeants, le numérique représente un bénéfice réel pour l’entreprise. Ils utilisent des outils numériques pour gagner en efficacité : 17 % d’entre eux utilisent des plateformes d’échange de documents en ligne. Ce segment est estimé à 745 000 entreprises, dans les services spécialisés, les services à la personne et le tourisme-hébergement ;
– les dirigeants de type « opportuniste », qui ne sont pas représentatifs des dirigeants de TPE et de PME françaises. Entièrement autonomes avec le numérique et n’y rencontrant pas de frein, ils en sont passionnés. Ce segment est estimé à seulement 80 000 entreprises.
France Num France Num est une initiative gouvernementale lancée en 2018 afin de soutenir la transformation numérique des TPE et PME. L’action des équipes de France Num consiste notamment : - à animer l’écosystème des acteurs engagés dans la transformation numérique des TPE et PME, en facilitant leurs échanges et en les outillant ; - à accompagner ces entreprises au passage à l’action en leur démontrant les bénéfices concrets de la transformation numérique et en les orientant vers les acteurs qui les accompagneront concrètement ; - à mettre en place des actions de soutien et de financement dans ce cadre, ainsi que des actions de formations. France Num fédère des actions qui vont de la sensibilisation jusqu’au passage à l’action. Sensibiliser et mettre à disposition les ressources utiles Le site Internet France Num met à disposition un ensemble de ressources variées, comprenant des articles de fond, un réseau d’experts numériques, des témoignages et retours d’expérience, des actualités sur les dispositifs nationaux et régionaux dédiés à la transformation numérique. France Num propose également des actions de formation et de sensibilisation aux bénéfices concrets du numérique : - Ma TPE a rendez-vous avec le numérique : formation en ligne pouvant être suivie à son propre rythme. Conçue en lien avec Fun-Mooc, la première session de ce Mooc (formation à distance capable d’accueillir un grand nombre de participants) a débuté le 25 janvier 2021, plusieurs sessions interviendront. - Une campagne grand public de sensibilisation : le programme télévisé Connecte ta boîte sur BFM et RMC (connectetaboite.fr) depuis le 15 février 2021. Son principe consiste à suivre le processus concret de numérisation d’entreprises accompagnées par des experts. Accompagner le passage à l’action Cet accompagnement prend la forme de 10 000 diagnostics individualisés suivis d’un plan d’actions financé par le plan de relance. Ces diagnostics sont proposés gratuitement aux petites entreprises des secteurs du commerce et de l’artisanat par les chambres de commerce et d’industrie et les chambres des métiers. France Num propose également des formations animées par des experts du numérique, en ligne ou en présentiel. Ce dispositif vise à accompagner 150 000 TPE/PME du secteur du commerce et de l'artisanat d’ici fin 2022. Pour aider les entrepreneurs désireux d’engager leur transformation numérique à identifier des entreprises en mesure de les accompagner, France Num a constitué, en outre, un réseau d’experts du numérique : les activateurs France Num. Ce réseau compte aujourd’hui plus de 2 700 experts, offreurs de solution, conseillers privés ou publics (réseaux consulaires notamment), répartis sur l’ensemble du territoire. Aider au financement de la transformation numérique
Plusieurs aides financières visent en outre à soutenir la transformation numérique des petites entreprises : – des aides régionales : au-delà du plan de relance mis en œuvre par l’État, les collectivités territoriales, avec les Régions en fer de lance, soutiennent l’activité économique des TPE PME en leur proposant des aides financières à la transformation numérique. – le chèque France Num de 500 euros est proposé, dans la limite des crédits disponibles, aux entreprises de moins de 11 salariés ayant fait l’objet d’une interdiction d’accueil du public à partir du 30 octobre 2020, ainsi qu’aux hôtels et hébergements similaires employant moins de 11 salariés. Il permet de financer tout ou partie de l’achat d’une prestation d’accompagnement à la transformation numérique ou d’acquisition d’une solution pour vendre en ligne, communiquer à distance avec ses clients ou encore promouvoir son activité sur Internet. 110 000 chèques financés par le plan de relance doivent être distribués. Un téléservice « cheque.francenum.gouv.fr » est ouvert depuis le 28 janvier 2021. – la garantie de prêt France Num pour les entreprises souhaitant engager un processus de numérisation mais dont les ressources financières sont limitées. France Num propose, en lien avec la Banque européenne d'investissement (BEI), une garantie pour faciliter l’obtention d’un prêt bancaire. Le prêt est destiné aux entreprises de moins de 50 salariés ayant au moins trois ans d’existence. Le prêt d’un montant maximal de 50 000 euros bénéficie d’un taux de garantie de 80 %. Il est commercialisé par des réseaux bancaires partenaires. Source : Direction générale des entreprises, ministère de l’économie, des finances et de la relance. |
La direction générale des entreprises concentre ses actions au titre de l’initiative France Num sur 1,7 million d’entreprises relevant des segments « prudents, demandeurs et réceptifs » précités. Cette initiative vise, de façon concertée, en lien avec l’ensemble des acteurs, à lever les réticences qui peuvent exister en matière d’accompagnement vers la transformation numérique. Il s’agit, en somme, de mettre fin au paradoxe de l’existence de ressources numériques variées mais d’une absence de réflexe de ces entreprises consistant à se tourner vers des organismes ou des institutions professionnelles ou publiques.
Au total, l’accompagnement apparaît comme une problématique en soi, qui appelle un effort d’approche et de communication tenant compte de la diversité même des situations. Il importe de tenir compte de la réalité et des contraintes des TPE et des PME pour appeler leur attention de façon convaincante. Ainsi que le résume Mme Bénédicte Roullier, face à des TPE et PME qui n’ont « pas toujours conscience de l’intérêt qu’a pour elles le numérique ou le vivent comme une sorte d’injonction au numérique », France Num a vocation à accompagner ces entreprises dans une démarche de numérisation « mais non à prescrire des solutions. Nous ne forçons pas les entreprises à se détourner d’offres de solution étrangères. Nous avons tous conscience que, actuellement, être référencé sur certaines plateformes ou moteurs de recherche internationaux est absolument indispensable. Notre but est plutôt d’embarquer les TPE dans le numérique, de les orienter vers les acteurs et les dispositifs les plus pertinents. France Relance a lancé plusieurs dispositifs, mais les entreprises restent libres de leurs choix entrepreneuriaux, de recourir à des solutions françaises ou étrangères. Nous voulons seulement qu’elles le fassent en connaissance de cause, qu’elles sachent que la gestion de leurs données sera différente selon la solution choisie » ([154]).
En somme, le but de France Num « n’est donc pas uniquement de leur proposer des solutions françaises mais aussi de les convaincre de l’intérêt de se numériser et de les accompagner au mieux lorsqu’elles entreprennent cette démarche de digitalisation ». C’est la raison pour laquelle, précise-t-elle, le réseau France Num « inclut des acteurs privés, donc des offreurs de solutions. France Num est géré en partenariat avec les régions. Nous présentons notre réseau de façon territoriale car la relation de confiance de la TPE s’établit avec un contact de proximité. Nous travaillons sur l’animation du réseau avec les régions et avec les filières numériques régionales. Nous avons un enjeu de qualité de la description sur la base de données des activateurs pour permettre à une TPE de choisir en connaissance de cause, les critères pouvant aller du respect du Règlement général sur la protection des données (RGPD) au fait que la société est française ou non, mais nous ne référençons pas uniquement des sociétés françaises ou européennes » ([155]).
Votre rapporteur salue les efforts engagés dans ce cadre, et le soutien du plan de relance à cette initiative. Il relève également qu’il est au fond assez logique, que des petites entreprises puissent avoir tendance à recourir à des solutions « ready made », proposées par les intégrateurs, qui privilégient la facilité et le prix, quels que soient les enjeux d’indépendance technologique nationale et européenne. Il lui semble important, sur ce sujet, de se placer en effet dans une logique d’accompagnement objectif visant à faire connaître l’offre française et européenne, tout en prenant en compte les besoins des entreprises accompagnées. Il est également essentiel de les sensibiliser aux stratégies de « captivité » déployées par certains acteurs, et qui peuvent prendre la forme, par exemple, de « kits de bienvenue », dont certains ont été critiqués lors des auditions, notamment pour les start-up. Mme Servane Augier, directrice générale déléguée de 3D Outscale, a ainsi relevé qu’un certain nombre de start-up ayant utilisé ce welcome kit, cherchent à s’en émanciper dans un deuxième temps. « Elles utilisent ce welcome kit. On ne va pas leur reprocher d’utiliser ce qu’on met à leur disposition, mais elles se rendent vite compte du risque important de perte de maîtrise. En effet, quand on utilise la panoplie des services de nos concurrents, on ne maîtrise plus l’infrastructure technique et le système d’information qu’on est en train de déployer » ([156]). Les petites entreprises doivent donc être sensibilisées vis-à-vis de ces pratiques pour prendre leurs décisions en connaissance de cause.
Cette position d’accompagnement réaliste s’impose d’autant plus qu’il existe encore certaines limites dans l’offre numérique française et européenne, qui concernent cette fois-ci l’ensemble des entreprises et administrations nationales.
Comme le relève M. Jean-Claude Laroche, vice-président du Club informatique des grandes entreprises françaises (Cigref), il existe actuellement une « situation d’extraordinaire dépendance » des grandes entreprises et administrations adhérentes du Cigref à l’égard d’acteurs ou de solutions non européens : « C’est vrai dans le domaine des logiciels. Typiquement, nous utilisons des systèmes d’exploitation, tels que Windows de Microsoft, et des suites bureautiques de Google ou de Microsoft comme Microsoft Office, Word, Excel, etc. Ces solutions sont américaines. Le moteur de recherche très souvent utilisé est Google. Il en va de même pour les outils de communication, avec les solutions comme Zoom, Teams, BlueJeans, Verizon ou Skype, qui sont américaines. Notre dépendance est presque totale. En ce qui concerne les matériels, la situation n’est guère plus brillante dans la mesure où, par exemple, nos data centers sont très souvent constitués de composants américains. Les routeurs dont sont munis les data centers de nombre de nos adhérents sont souvent de marque Cisco. C’est également vrai pour le matériel qui équipe les bureaux. Les ordinateurs personnels sont souvent fabriqués en Chine, avec des composants américains conçus et parfois développés en Israël. » ([157]).
M. Stéphane Volant, président du Club de la sécurité et de la sûreté des entreprises, partage ce constat : « la plupart des entreprises n’utilisent pas de solution française ni de solution européenne. Le marché des solutions françaises ou européennes des entreprises représenterait 10 % à 15 % des entreprises à l’heure actuelle. La raison n’est pas que les entreprises ne sont pas patriotes, surtout lorsqu’il s’agit d’entreprises publiques ou de défense. Ce n’est pas non plus parce qu’elles refusent de travailler avec des solutions françaises. Il y a deux raisons possibles : soit les solutions françaises sont inaccessibles et non compétitives, soit elles n’offrent pas les mêmes fonctionnalités ni la même ergonomie que les solutions internationales » ([158]).
Sur ce sujet, votre rapporteur défend une position pragmatique, favorable à l’offre française et européenne mais consciente que certains segments sont moins compétitifs que certaines solutions extra-européennes. Dans le domaine de la sécurité, par exemple, il ne suffit pas d’insister sur le caractère souverain d’une solution pour répondre aux besoins des entreprises utilisatrices. Il faut répondre à ce besoin à un coût qui ne soit pas exorbitant et pour des fonctionnalités et une ergonomie toutes deux concurrentielles. Les acteurs auditionnés par la mission d’information ont ainsi considéré que le coût de la souveraineté représente un supplément maximum envisageable de l’ordre de 10 % à 15 %, lorsqu’il est envisagé comme une assurance.
Quant au choix de passer au cloud, Mme Karine Picard, directrice générale d’Oracle France a pu insister en outre sur la force des acteurs américains qui est d’offrir un tout : l’infrastructure, la plateforme et le SaaS. « Cela permet à certaines entreprises de rationaliser leur schéma directeur, de prévoir les intégrations, de faciliter la construction et le move to cloud d’un certain nombre de processus. Au départ, les entreprises privées ont fait des choix de cloud département par département. La présence de multiples acteurs cloud à l’intérieur d’une entreprise peut engendrer des problématiques de sécurité, de transmission de données, des problèmes légaux. Il existe un besoin de rationaliser, en termes tant de sécurité des données, de souveraineté, que de flux entre les différents départements des entreprises. Peu d’acteurs en Europe peuvent fournir ce type d’offre, cette gamme de services pour les entreprises privées » ([159]).
Pour autant, la question des limites de l’offre numérique française ou européenne ne doit pas être appréhendée comme relevant d’un dernier « baroud d’honneur ». Des exemples de succès peuvent d’ailleurs être mis en avant, comme celui des progiciels de gestion de la logistique, de la comptabilité, des ressources humaines développés par l’éditeur allemand SAP AG. Il est question ici de choix avisés d’anticipation et d’investissement.
2. Des ETI et grandes entreprises convaincues par le numérique, et qui doivent accélérer leurs investissements
Les entreprises de taille intermédiaire se sont davantage saisies de l’enjeu de la transformation numérique. L’enquête annuelle dite « Baromètre de la maturité digitale des ETI », réalisée à la demande du Mouvement des entreprises de taille intermédiaire (METI), conjointement avec la société d’investissement Apax Partners et le cabinet Ernst & Young et associés, montre, année après année, depuis 2017, un approfondissement de la transformation numérique des ETI. Dans le baromètre 2019, 61 % des entreprises interrogées se déclaraient en cours de déploiement de leur stratégie digitale et 8 % affirmaient avoir atteint un stade de pleine maturité, sans différences entre les entreprises de BtoB et de BtoC.
Le premier type de projet d’investissement envisagé cible l’amélioration de l’expérience client, devant la collecte et l’exploitation organisée des données et la cybersécurité.
Dans le baromètre 2020, il apparaît que 71 % des ETI interrogées veulent accélérer leurs investissements dans le digital. La moitié des ETI estime également que la crise a accéléré le déploiement d’outils d’amélioration de l’expérience client et de transition vers le marketing digital. Pour plus de 85 % des entreprises interrogées, les domaines prioritaires d’investissement demeurent l’amélioration de l’expérience client par le digital, le déploiement des outils collaboratifs digitaux, la modernisation des infrastructures de technologies de l’information et la cybersécurité.
Comme l’a relevé M. Alain Conrard, président de la commission digitale du METI, la manière d’aborder la transformation numérique dans les entreprises revêt un caractère décisif : « 71 % des ETI estiment que leurs direction générale et direction des systèmes d’information (DSI) portent principalement la transformation numérique en leur sein. En pratique, cette transformation se heurte à plusieurs obstacles : la résistance au changement, le défaut de vision partagée, des difficultés à intégrer les nouvelles compétences, la nécessité que les décideurs appréhendent les conséquences profondes de la transformation sur leur entreprise. Je pense ici à celles de l’Intelligence artificielle, des mégadonnées (big data) ou de l’Internet des objets (IoT), sur l’organisation et le modèle même des entreprises, leurs canaux et modes de production. Les ETI n’investissent pas encore assez dans ces sujets qui déterminent pourtant en partie leur performance future » ([160]).
Le caractère différenciant du facteur taille en matière de numérisation des entreprises ne doit pas faire oublier l’existence d’intérêts convergents entre les grandes entreprises et leur environnement économique. Il existe en effet une dynamique de numérisation des entreprises au sein des filières, comme le montre, par exemple, le contrat de filière du Comité stratégique de filière de l’industrie aéronautique (2018-2022). À partir du constat d’une filière « à deux vitesses » au regard des impératifs de l’industrie du futur entre, d’une part, les grands groupes, dont les « feuilles de route » sont en place et, d’autre part, la vision insuffisamment claire des solutions à mettre en œuvre de la part des PME et ETI, un parcours d’accompagnement individualisé de ces dernières a été mis en place en ce qui concerne les premières étapes de la transformation digitale, l’accélération du déploiement d’outils transverses propres à la filière pour une meilleure efficacité collaborative (AirSupply, Airdesign, Air Collab) et la sécurisation des systèmes d’information et de production (AirCyber). Il en va de même au sein de la filière des industries et technologies de santé, dont le contrat de filière comprend un volet d’accompagnement du développement des PME, afin de permettre la montée en compétences stratégique et managériale de leurs dirigeants et stimuler une relation partenariale durable et globale propre à initier, faciliter ou apporter des solutions aux PME dans leurs relations avec les grands comptes donneurs d’ordres.
Votre rapporteur souhaite insister, à ce stade, sur une idée-force : les ETI et grandes entreprises doivent être ambitieuses dans leurs investissements technologiques pour anticiper les gains de productivité que ces technologies vont apporter dans les prochaines années. Cela implique de bien mesurer le rapport de force avec leurs concurrents étrangers et de privilégier une approche pragmatique. Pour M. Michel Paulin, président d’OVHcloud : « il faut choisir ses batailles. Pour certaines d’entre elles, il vaut mieux faire des alliances ouvertes, conformes aux règles de l’Europe sur la protection des données. Pour d’autres domaines – la sécurité, l’Intelligence artificielle, le big data – l’Europe a des solutions extrêmement innovantes. Il faut les aider, comme le font les autres régions, qui sont capables de créer des écosystèmes aux États-Unis, en Inde, en Russie, au Japon, en Corée, en Chine, pour faire émerger les acteurs qui auront la taille suffisante pour les investissements nécessaires. Il existe un écosystème à travers la filière française et européenne » ([161]).
3. Des technologies numériques indispensables pour peser dans le monde numérique de demain
Les auditions font apparaître plusieurs segments technologiques clés qui seront de plus en plus critiques pour les entreprises dans les prochaines années.
Les technologies quantiques ont un potentiel très élevé dans cette optique. Pour Mme Diane Dufoix-Garnier, directrice des affaires publiques d’IBM ([162]), le quantique constitue un champ entier, encore à ses prémices, malgré la rapidité des progrès. À côté de l’investissement dans cette technologie (dans les ordinateurs, les simulateurs, etc.), l’enjeu est de constituer des écosystèmes, par exemple avec de grandes entreprises françaises et des universités, pour développer les algorithmes quantiques qui seront probablement au centre des usages de demain. Selon elle, une technologie n’a pas d’intérêt si elle n’offre pas un usage pour l’industrie de demain, la santé de demain, les villes intelligentes, etc. Il existe donc un enjeu pour la France à se positionner à la pointe de ces technologies dans leur dimension « offre ». Il s’agit d’investir en R&D et de développer les compétences, dans une logique d’écosystème, certains acteurs ayant déjà, de manière propre, beaucoup investi dans ces technologies.
Le cloud hybride constituera une stratégie structurante des prochaines années. Selon Michel Gesquiere ([163]), responsable des ventes d’IBM, le cloud hybride est censé combiner « le meilleur des deux mondes ». En fonction de la criticité des applications concernées, qui est très différente dans le domaine industriel, bancaire ou des biens de grande consommation, il s’agit d’offrir le choix de localiser les applications ou les données dans des environnements privés (plus protecteurs) ou dans des environnements publics, ces derniers offrant plusieurs avantages à l’impact économique extrêmement important (une économie d’échelle et une automatisation très importante, le recours à des logiciels libres, une grande flexibilité etc.).
L’Intelligence artificielle verra sa place considérablement accrue dans les années à venir. Déjà déployée dans le domaine de l’expérience « client », elle servira également d’assistant pour accroître la performance des employés. L’automatisation des processus industriels passera également par l’Intelligence artificielle. L’accroissement du nombre de données liées à l’IoT et à la 5G, fera de l’Intelligence artificielle l’instrument de leur transformation en éléments de compétitivité et d’automatisation des performances.
4. Certains obstacles persistent pour anticiper les évolutions à venir
L’appréciation des capacités d’anticipation des grandes entreprises et les difficultés qu’elles peuvent rencontrer dans leur montée en gamme technologique ont fait l’objet de plusieurs remarques lors des auditions.
Ont été mis en exergue, notamment :
– le niveau insuffisant d’investissement des entreprises françaises sur les technologies d’avenir. Pour M. Nicolas Brien, directeur général de la fédération de start-up France Digitale, la responsabilité du retard français en matière numérique est celle des dirigeants des sociétés du CAC 40, peu visionnaires, sans prescience des transformations numériques à venir sur les business models et n’investissant pas au niveau requis : « nos opérateurs français sont encore en train de déployer les pylônes 4G quand leurs concurrents allemands ou sud-coréens déploient les premiers réseaux de télécommunications quantiques » ([164]) ;
– la difficulté de faire d’une entreprise innovante un géant technologique. Pour M. Éric Baissus, président-directeur général de Kalray, il convient de surmonter une forme de tropisme d’exclusivité technologique de la part des start-up : « aujourd’hui, en France, on croit encore que vous pouvez créer une société, quand vous avez une technologie. J’ai tendance à dire que, quand vous avez une technologie, vous n’avez fait que 20 % du travail, vous devez encore déployer un effort considérable pour transformer une technologie en une société commerciale pérenne, leader de son marché. L’effort à fournir est largement sous-estimé. Beaucoup de financements aujourd’hui sont plus liés à de la technologie (même si les mentalités sont en train d’évoluer) qu’au positionnement produit, à la mise au point d’une offre mature, à l’accès au marché. C’est bien d’avoir une technologie différente, mais la différence en soi n’a pas de valeur. Il faut avoir une différenciation sur le marché. » ([165]) ;
– l’effet d’éviction lié à la dimension mondiale du marché technologique. Pour M. Michel Van Den Berghe, alors directeur général d’Orange Cyberdéfense, un phénomène de survalorisation de certaines entreprises rend prohibitif leur achat par des entreprises européennes. « Orange Cyberdéfense a mis Alcide à son catalogue et a incité ses propres clients à acheter ses solutions, en prenant en charge les problématiques de référencement et d’achat. In fine, Alcide a été rachetée par une société américaine, pour un montant de 100 millions d’euros. Personne en France ne peut investir 100 millions d’euros pour acheter Alcide. Cette valorisation est complètement délirante. La valorisation des cibles du marché de la cybersécurité est pour nous de l’ordre de 20 à 25 % de l’EBITDA. Je ne peux pas demander au conseil d’administration de valider l’acquisition d’une entreprise pour un montant de vingt à vingt-cinq fois son EBITDA, Le marché est survalorisé. Aucune entreprise française ne peut débourser 100 millions d’euros pour acheter Alcide, qui réalise 8 millions d’euros de chiffre d’affaires. Lorsque vous achetez une entreprise vingt-cinq fois la valeur de son EBITDA, cela signifie qu’il faut vingt-cinq ans pour rentabiliser l’investissement. Il faut donc être certain que les synergies d’acquisition permettront de diviser le coût par deux. Dans notre métier, les valorisations sont de manière générale un peu délirantes. Les grands acteurs américains sont visionnaires dans la transformation numérique et achètent des start-up qui ont déjà développé des solutions, pour ne pas avoir à le faire eux-mêmes. Même s’ils ont commencé à travailler dans le domaine, mais qu’une start-up est allée plus vite, ils l’achètent, la mettent à leur catalogue et sont en avance sur le marché. » ([166]).
Il faut évidemment relever qu’une entreprise américaine mondialisée comme Cisco conteste une telle appréciation et s’en remet à la véracité des prix de marché. Pour M. Laurent Degré, président directeur général de Cisco Systems France, « si ces sociétés sont achetées à ces prix, cela signifie qu’il existe de la compétence et de l’expertise en France. II s’agit donc d’une bonne nouvelle. Par ailleurs, ce n’est pas de la survalorisation, mais une valorisation de la compétence qui a un prix sur ce marché. La question se pose ensuite de savoir si nous avons la capacité de le faire, au niveau français ou européen, mais c’est une autre discussion. Il n’y a pas de survalorisation de ces sociétés, mais une simple valorisation de leur compétence. » ([167]) ;
– la nécessité de dépasser un certain nombre de stéréotypes. Pour M. Jean-Noël de Galzain, président d’HEXATRUST, organisation qui regroupe des start-up, des PME et des ETI spécialisées dans la cybersécurité : « Arrêtons de croire que nous allons changer le monde en investissant de l’argent dans les grandes entreprises. Si nous réservons de l’argent aux PME, start-up et ETI, et si leurs propositions de valeur séduit les utilisateurs, alors nous parviendrons à attirer les grands intégrateurs, les grands financeurs et les grandes banques. Le cercle vertueux fonctionnera, puisque nous créerons de nouveaux besoins et de nouveaux marchés. Il me paraît urgent de considérer le fait qu’un certain nombre d’entrepreneurs ne sont pas attirés par l’idée de devenir milliardaires à tout prix. D’aucuns associent le profil du patron à la volonté de « s’en mettre plein les poches », mais il faut avoir à l’esprit qu’un certain nombre d’entrepreneurs sont séduits par l’idée de créer des géants mondiaux comme Schneider Electric, Alstom et d’autres sociétés françaises qui ont fantastiquement bien réussi. Or, pour y parvenir, ils ont besoin d’un certain nombre d’instruments qui fonctionnent, à savoir des solutions de sortie pour les investisseurs, c’est-à-dire des solutions permettant de réaliser, sans avoir à revendre là où les capitaux sont les plus nombreux, là où ils s’achètent le plus cher » ([168]).
B. Soutenir le développement de l’écosystème deeptech français et européen
1. Mobiliser davantage le levier de la commande publique au service de l’innovation
a. La commande publique est insuffisamment orientée vers les entreprises technologiques nationales et européennes.
Le contenu de la commande publique a un impact évident sur la nature de la transformation numérique de nos administrations et sur la construction d’une forme de souveraineté numérique nationale ou européenne.
L’achat public se situe au confluent de deux préoccupations :
– répondre aux besoins des administrations publiques par la sélection du soumissionnaire le « mieux-disant » à la suite, par exemple, d’un appel d’offres ;
– tirer parti de la dépense publique en termes de politique économique et de soutien aux entreprises. Par lui-même, le processus d’achat public permet d’injecter des liquidités dans l’économie et de soutenir financièrement les entreprises. La commande publique représentait ainsi 87,5 milliards d’euros en 2019, selon le baromètre de l’Assemblée des communautés de France (AdcF) et de la Banque des territoires. Il ressort des auditions le sentiment largement partagé qu’une part de la commande publique doit être utilisée comme un levier de développement de l’écosystème technologique français et européen.
En l’état actuel du droit de l’Union européenne, insérer une préférence généralisée pour les entreprises nationales dans les marchés publics du numérique est impossible. Le Buy American Act adopté en 1933 ou le Small business Act, visant à réserver certains marchés publics aux PME, adopté en 1953 aux États-Unis, n’ont pas d’équivalent au sein de l’Union européenne.
Buy European Act et Small Business Act
Le Buy European Act et le Small Business Act sont deux projets de réforme du droit économique européen en faveur d’une préférence européenne en matière d’achat public. Ils s’inspirent de l’adoption aux États-Unis du Buy American Act en 1933 et du Small Business Act en 1953.
Souvent confondus, ces deux propositions possèdent une logique semblable mais s’inscrivent dans une perspective et un périmètre légèrement différents.
La création d’un Buy European Act viserait à favoriser dans les procédures de marché public les entreprises qui localisent leur production eu Europe, voire à exclure de la commande publique les entreprises qui ne respectent pas cette obligation. La défense d’un Buy European Act était une proposition du candidat Emmanuel Macron, afin de réduire la dissymétrie dans l’accès à la commande publique. Il existe en effet une inégalité d’accès dans ce domaine, en raison d’un degré d’ouverture des marchés publics de l’Union européenne plus important que chez ses partenaires mondiaux. Bien que ce ne soit l’objectif principal du Buy European Act, le fait de favoriser les entreprises européennes au sein des marchés publics serait évidemment bénéfique pour les PME européennes.
La création d’un véritable Small Business Act permettrait de réserver une partie des marchés publics aux PME. Son objectif premier est donc d’abord de viser le développement des petites entreprises européennes.
Source : mission d’information
À l’heure actuelle, les entreprises étrangères peuvent candidater aux appels d’offres des administrations sans restrictions spécifiques. Dès lors, dans le secteur du numérique, les entreprises les « mieux-disantes » et aux offres les plus intéressantes, en termes de performance ou de sécurité, peuvent être des entreprises en dehors du territoire de l’Union, ou non contrôlées par des acteurs européens. Lors de son audition, la directrice du Health Data Hub a par exemple justifié le recours à Microsoft pour l’hébergement des données de santé, en raison de ses services managés de sécurité et des exigences de performance, notamment en matière de deep learning ([169]). La taille des géants du numérique leur offre, en outre, assez souvent, un avantage compétitif important face aux offres nationales ou européennes
La temporalité des besoins des administrations publiques peut également conduire à privilégier une solution aisément accessible, déjà développée et disponible. La « demande » de solutions numériques émanant des administrations publiques repose en effet sur une attente de fiabilité, de simplicité et de rapidité qui favorisent par construction les grands acteurs. Dès lors les petites ou moyennes entreprises (PME) ou les entreprises de taille intermédiaire (ETI) peuvent rencontrer des difficultés d’accès à la commande publique, en matière numérique, en raison notamment de la position hégémonique de certains acteurs dans ce secteur.
L’article L. 2153-1 du code de la commande publique prévoit le principe d’égalité de traitement des opérateurs économiques issus de l’Union européenne avec ceux d’États parties à l’accord sur les marchés publics de l’Organisation mondiale du commerce (OMC). Les entreprises françaises, européennes, ou extra-européennes sont ainsi traitées de façon similaire, limitant l’emploi de la commande publique comme outil de politique économique pour développer le tissu productif local en matière numérique.
Contrairement aux idées reçues, il existe, en revanche, un certain nombre d’outils permettant de favoriser, dans certaines circonstances, une offre nationale ou européenne (infra).
Votre rapporteur considère donc que la commande publique doit davantage être prise en compte par l’État comme un outil de stimulation de l’offre privée et de soutien à la création d’un écosystème d’entreprises du numérique. Pour parvenir à cet objectif, il est essentiel de promouvoir l’exemplarité de l’État dans sa doctrine d’achat public, notamment à destination des acteurs technologiques français.
b. Le cadre juridique actuel offre des marges de manœuvre via plusieurs dérogations au principe d’égalité de traitement
À droit constant, plusieurs dispositions permettent de favoriser le recours à des solutions françaises ou européennes dans les procédures d’achat public, qui peuvent s’appliquer dans des domaines en lien avec le numérique.
Un premier type de dérogations tient à la nature de l’achat :
– pour les marchés publics de défense, le droit de la commande publique autorise une dérogation au principe d’égalité de traitement entre les candidats. L’article 97 de l’instruction générale interministérielle n°1300 du 30 novembre 2011 sur la protection du secret de la défense nationale autorise par exemple l’apposition d’une mention « Spécial France » ([170]). Cette dernière implique de ne retenir que des sociétés françaises dans des domaines qui comportent un enjeu de nature stratégique. La mise en œuvre de ce dispositif s’appuie sur un travail de certification effectué par l’ANSSI ;
– pour les opérateurs de réseaux (eau, énergie, transports), l’article L.2153- 2 du code de la commande publique permet d’écarter les offres composées à plus de 50 % de produits provenant d’États tiers à l’Union européenne, n’ayant pas signé l’accord sur les marchés publics de l’OMC. Cet article ne s’applique toutefois qu’aux seuls opérateurs de réseaux ;
– pour les achats innovants, une expérimentation est en cours jusqu’au 24 décembre 2021 afin de dispenser de publicité et de mise en concurrence les achats de produits innovants au-dessous de 100 000 euros. Au 1er janvier 2021, 174 marchés ont été déclarés selon cette procédure, pour un montant total de 11 millions d’euros. Le principal frein au recours à ce dispositif est l’incertitude entourant la notion d’achat innovant.
Un deuxième type de dérogation est prévu par l’article L.2153-2 du code de la commande publique, qui pose un principe d’égalité de traitement entre les opérateurs économiques issus de l’Union européenne avec ceux des États parties à l’accord sur les marchés publics de l’OMC. Cet article intervient en transposition de l’article 25 de la directive européenne 2014/24 du 26 février 2014 ([171]). Le principe d’égalité de traitement n’a ainsi pas vocation à être respecté vis-à-vis des États non parties à cet accord.
Le troisième type de dérogation correspond au respect des exigences sociales, environnementales, ou à la nécessité d’assurer la sécurité des informations et des approvisionnements. L’article L.2112-4 du code de la commande publique prévoit que l’acheteur peut ainsi exiger une localisation de tout ou partie du marché sur le territoire des États de l’Union européenne afin de prendre en compte ces exigences.
Lors de son audition, Me Thierry Dal Farra, associé du cabinet UGGC Avocats a souligné qu’un dernier type de dérogation, sans être expressément prévu, tient à la pratique de la commande publique : la structuration des contrats et des contraintes d’exécution peut influer sur l’origine des entreprises susceptibles de remporter les marchés. Par exemple, l’allotissement géographique et technique, sous réserve qu’il ne soit pas incohérent, est de nature à favoriser la candidature de PME implantées localement, tout en pouvant réduire l’intérêt des plus grands opérateurs à candidater ([172]). Mme Laure Bédier, directrice des affaires juridiques au ministère de l’Économie, des Finances et de la Relance relève ainsi qu’« il est très important de connaître l’offre nationale pour pouvoir adapter la demande en conséquence […]. Les critères doivent être pondérés de manière à ce que le prix ne soit pas le seul élément pris en compte dans la sélection » ([173]).
c. Une modification des pratiques d’achat public est indispensable
Une meilleure connaissance du droit de la commande publique paraît nécessaire, en particulier dans le domaine du numérique. Mme Laure Bédier a ainsi plaidé pour une plus large diffusion des outils déjà existants et pour une meilleure communication sur les possibilités offertes par le code de la commande publique. Le recours plus large à l’allotissement pourrait ainsi, dans l’immédiat, être une piste à privilégier, indépendamment de la création du Small Business Act européen, que beaucoup d’acteurs appellent de leurs vœux ([174]).
Pour votre rapporteur, l’information sur les outils permettant de privilégier le recours aux acteurs français, à droit constant, doit ainsi être renforcée. De même, ces acheteurs doivent être formés aux enjeux de souveraineté numérique afin que cet objectif soit pleinement pris en compte lors du recours à un prestataire externe.
Les pratiques de l’Union des groupements d’achats publics (UGAP) sont également sources d’interrogations. L’UGAP est une centrale d’achat, responsable de la publication des appels d’offres pour les clients publics. Lors de son audition, M. Edward Jossa, président de l’UGAP, a insisté sur les limites du rôle de la centrale d’achat : « l’UGAP n’est pas une autorité de prescription. La logique de l’UGAP est de fournir ce qu’on lui demande. La valeur ajoutée de l’UGAP est de sécuriser les procédures de mise en concurrence, d’appliquer correctement le code de la commande publique, de faire gagner du temps aux clients, de procéder à des économies. Nous sommes là pour faciliter de meilleurs prix et pour faciliter la commande. En revanche, si l’État décide qu’une partie des applications des ministères doivent obligatoirement bénéficier de la labellisation SecNumCloud, et que nous avons instruction de ne vendre que des produits labellisés SecNumCloud, alors nous l’appliquerons » ([175]).
Interrogé par notre collègue, M. Éric Bothorel, sur le point de savoir si les référencements de l’UGAP sont encore adaptés à l’évolution du marché des logiciels qui intègre davantage de services que de produits et sur la façon dont l’UGAP conseillerait concrètement une petite agglomération se trouvant face à des choix de cloud, le président de l’UGAP a répondu : « la manière classique de travailler de l’UGAP recouvre les étapes suivantes : conseil, puis devis, puis commande. Sur un certain nombre de solutions, comme le marché multi-éditeurs ou le marché cloud, tout notre travail consiste à incorporer des outils d’aide à la décision dans notre dispositif de commande. Cet outil d’aide à la décision repose sur un système de questions et réponses : le client entre les données relatives à ses besoins et à sa commande. Capgemini, titulaire du marché, est responsable d’entretenir une application d’aide aux choix qui permet d’objectiver les critères guidant la prise de décision. Cela permet d’éviter une forme d’arbitraire qui présente un risque pour l’UGAP tout comme pour le client public. » ([176]).
Or, plusieurs entreprises auditionnées ont fait état de difficultés de référencement dans les dossiers de l’UGAP, limitant ainsi leur accès à la commande publique. Au regard de l’innovation sur le marché du numérique et de la nécessaire adaptation à l’état du marché, les procédures de référencement à l’UGAP doivent être fluides et rapides, afin de ne pas éloigner durablement des entreprises de l’achat public. En outre, l’UGAP privilégie les solutions prêtes à l’emploi, limitant la place des jeunes entreprises, dont les solutions innovantes sont en cours de développement.
Pour votre rapporteur, il ne fait pas de doute que l’UGAP doit s’attacher à modifier ses pratiques de référencement, afin de permettre un accès accru des entreprises françaises du numérique à la commande publique.
Proposition n° 26 : Privilégier, en matière de commande publique, le recours aux solutions d’acteurs technologiques français ou européens.
Proposition n° 27 : Exiger de l’Union des groupements d’achats publics (UGAP) des délais raisonnables dans le traitement des demandes de référencement des acteurs de l’offre numérique française (page 98).
Proposition n° 28 : Créer un guide d’information des acteurs publics sur les outils de la commande publique, afin d’encourager, notamment, la pratique de l’allotissement, le recours par les collectivités au « dialogue compétitif » en matière de numérique et l’usage de la mention « Spécial France », toutes mesures qui permettront de rendre plus systématique le recours aux acteurs français au sein de la commande publique.
d. Une évolution du droit de la commande publique national et européen sont également souhaitables
À court terme, la France fait toute diligence au sein du groupe de travail « marchés publics » du Conseil de l’Union pour obtenir un accord sur une modification de la directive 2014/23/CE ([177]), en vue d’étendre la dérogation prévue à l’article L.2153-2 du code de la commande publique au-delà du champ des opérateurs de réseaux. Une telle extension pourrait en effet conduire à offrir davantage de souplesse aux administrations publiques dans leur processus de sélection des offres, en particulier dans le domaine du numérique, et leur permettrait de sélectionner en priorité des entreprises françaises ou européennes.
À moyen terme, les systèmes de labellisation et de certification devraient être développés :
– concernant la labellisation, il convient de relever qu’au sein de la direction interministérielle au numérique (DINUM), la mission Label élabore actuellement un label destiné à la commande publique française, afin d’orienter les décideurs vers l’achat de solutions nationales ou européennes. Lors de leur audition, M. Jacques de La Rivière, président et fondateur de Gatewatcher et Mme Louise Bautista, représentante de TheGreenBow, deux entreprises du numérique françaises, ont fait part de leur pleine approbation d’une telle initiative ([178]) ;
– concernant la certification, plusieurs normes existent, en particulier s’agissant de garantir la sécurité du cloud (SecNumCloud, HDS en matière de santé, ISO 27001). Néanmoins, ces certifications ne vont pas au-delà de la sécurité des solutions techniques, sans prendre en compte les questions de souveraineté. Ainsi, selon M. Michel Paulin, directeur général d’OVHcloud, les certifications devraient prendre en compte plusieurs critères, comme la localisation des données et métadonnées en Europe, leur accessibilité par des législations de pays hors de l’Union européenne, la soumission à des droits extraterritoriaux, et la conformité aux demandes d’autorisation des pays tiers conformes au RGPD ([179]).
Votre rapporteur estime nécessaire d’intégrer, à moyen terme, dans les normes existantes (SecNumCloud, HDS, ISO 27001) le principe selon lequel l’hébergeur ne doit pas être soumis à des lois extraterritoriales.
Enfin, il est souhaitable de soutenir, à moyen-terme, l’adoption d’un Small Business Act pour répondre aux attentes fortes et légitimes manifestées par les acteurs auditionnés dans le cadre de la présente mission.
Compte-tenu du droit du marché intérieur et des libertés de circulation, un Small Business Act n’est pas envisageable à l’échelle nationale, mais seulement à l’échelle européenne. En termes politiques, l’adoption d’un Buy European Act ou d’un Small Business Act à l’européenne paraît difficilement réalisable à court terme puisqu’une refonte du droit de la commande publique européen serait nécessaire, ce qui nécessite un accord entre les États membres. Au surplus, ce dispositif nécessiterait une négociation avec l’Organisation mondiale du commerce (OMC). En effet, c’est l’OMC qui a accordé des dérogations aux règles du commerce international pour permettre aux États-Unis, à la Corée du Sud et au Canada d’adopter des mesures législatives visant à favoriser leurs entreprises nationales dans les marchés publics.
Il n’en ressort pas moins des auditions que l’adoption d’un tel dispositif contribuerait fortement, à moyen et long terme, à l’affirmation d’une souveraineté numérique européenne et au développement d’un écosystème d’entreprises digitales européennes qui en est le corollaire. Un tel dispositif permettrait en effet de contraindre les acheteurs publics au choix de solutions françaises, au-delà de la simple recommandation. Lors de son audition, M. Bernard Benhamou, secrétaire général de l’Institut pour la souveraineté numérique, a ainsi insisté sur l’importance du Small Business Act aux États-Unis, lequel a permis, par exemple, le développement de la société SpaceX dans le domaine spatial, en fort lien avec les commandes de la NASA, agence publique ([180]).
Quand bien même la France part relativement isolée face aux autres États membres sur ces sujets, un groupe de réflexion sur l’évolution du cadre européen de la commande publique pourrait être utilement créé pour parvenir, à moyen terme, à l’adoption d’un Small Business Act européen.
Proposition n° 29 : Lancer une mission d’expertise sur les enjeux de souveraineté de la commande publique, afin d’identifier les leviers permettant de faire évoluer le cadre juridique actuel, en faveur de la prise en compte des enjeux de sécurité numérique, de gestion et de localisation des données en Europe.
Proposition n° 30 : Faire évoluer les pratiques et le cadre juridique de la commande publique :
Au niveau national :
– En intégrant le principe selon lequel l’hébergeur ne doit pas être soumis à des lois extra-européennes dans les normes de sécurité existantes (SecNumCloud, HDS, ISO 27001) ;
– En intégrant dans les clauses administratives générales des marchés (CCAG) des obligations liées à la localisation des données en Europe, sous peine de condamnation pénale des dirigeants du cloud ;
– En soutenant une « culture du risque » chez les acheteurs publics (sécurisation juridique) et en améliorant leur formation aux aspects extra-juridiques de la commande publique.
Au niveau européen :
– En mettant en place rapidement un Small Business Act ;
– En étendant à d’autres produits le régime de préférence communautaire existant dans les infrastructures ;
– En clarifiant l’article 25 de la directive européenne de 2014 pour identifier précisément les cas dans lesquels une offre d’un État tiers peut être écartée.
2. Faciliter l’accès de nos deeptech aux financements européens
Des solutions de financement significatives existent, à l’échelon national, pour faciliter la création de start-up. Bpifrance mène une action volontariste en ce sens, qui nécessite d’être poursuivie et clarifiée afin d’assurer une lisibilité maximale au sein du paysage des aides au soutien à l’innovation français.
Les deeptech peuvent ainsi bénéficier de bourses qui leur sont spécifiquement dédiées : les bourses « French Tech Emergence ». Si les bourses « French Tech » peuvent être sollicitées par toutes les start-up innovantes, les bourses « French Tech Emergence » (de 50 000 euros à 90 000 euros) sont spécifiquement destinées à soutenir les innovations de rupture à forte dimension technologique.
Un effort de financement particulier et ciblé est ainsi réalisé en faveur des deeptech grâce à des subventions directes, à la mise à disposition d’avances remboursables, de prêts d’innovation, ou encore de prêts d’amorçage.
Cette action de soutien doit se poursuivre et l’écosystème doit travailler à approfondir ses coopérations afin de « chasser en meute ».
Proposition n° 31 : Renforcer le soutien public à destination de la French Tech, pour encourager ses membres à « chasser en meute » (page 100).
Les deeptech : quelle définition ?
Selon la définition donnée par Bpifrance, ce terme désigne les start-up qui proposent des produits ou des services sur la base d’innovations de rupture. D’après la définition proposée en 1997 par Clayton Christensen, une innovation est dite « de rupture » (disruptive innovation) lorsqu’elle crée, transforme ou détruit un nouveau marché.
Une entreprise de la deeptech est ainsi une forme particulière de start-up, ce dernier terme désignant une entreprise innovante à fort potentiel de croissance et de spéculation sur sa valeur future.
Source : Bpifrance-création.fr & Stratégie.gouv.fr
i. Des progrès incontestables au niveau national
Selon M. Paul François Fournier, directeur exécutif en charge de l’innovation chez Bpifrance, le nombre de start-up accompagnées par la banque publique a triplé depuis 2013-2014 pour atteindre près de mille par an aujourd’hui. Cette évolution trouve son origine dans les mutations induites par l’irruption du digital dans la vie économique : « avec le digital, l’innovation a complètement changé et le modèle le plus créateur de valeur est maintenant celui des start-up. Même si les filières traditionnelles continuent à être innovantes, les start-up sont aujourd’hui l’outil de création de valeur au début du processus d’innovation » ([181]).
Pour Mme Liliane Devryer, directrice de projets « Technologies et solutions numériques émergentes » au sein de la direction générale des entreprises (DGE), les dispositifs deeptech ont permis, en 2020, d’injecter un million d’euros au bénéfice des start-up investies dans le développement de la blockchain ([182]). Bpifrance poursuit ainsi une politique de soutien à la création de start-up technologiques.
Des financements permettent aussi d’accompagner la croissance des start-up. C’est le deuxième axe de l’action de Bpifrance. Pour cela, la banque publique cherche à créer des conditions favorables à la création d’un environnement dynamique de capital-risque. Le développement de fonds d’investissement est essentiel pour permettre aux entreprises de croître et de se développer. Les programmes d’investissement d’avenir ont permis à Bpifrance d’investir afin d’augmenter la taille de ces fonds.
La dynamique de maturation de cet écosystème est incontestable. Le capital-risque français est en effet passé de deux milliards d’euros en 2013-2014 à plus de cinq milliards d’euros cette année. Certains de ces fonds représentent déjà plus d’un milliard d’euros. En 2020, 80 levées de fonds de vingt millions d’euros ont eu lieu, contre seulement une quarantaine en 2016, et douze levées de fonds de 100 millions d’euros ont eu lieu en 2020, contre six en 2016. La progression est donc significative.
En conséquence, la poursuite de l’action publique dans ce domaine, avec la pérennisation du plan deeptech qui a débuté il y a deux ans, est souhaitable. La dynamique de maturation de l’écosystème de capital-risque doit être poursuivie.
Au cours de son audition, M. Paul-François Fournier a néanmoins rappelé que Bpifrance n’avait pas vocation à se substituer aux fonds d’investissement, qui doivent « prendre le relais » pour financer ces innovations.
Ces différents éléments confirment, pour votre rapporteur, l’analyse présentée dans le rapport de M. Philippe Tibi sur la difficulté qu’ont les start-up à financer, non pas leurs premiers stades de développement, mais ceux nécessitant des levées de fonds très significatives. Leur croissance est en effet ralentie par le manque de financement en late stage (levée de fonds supérieure à 30-40 millions d’euros). Dans ce rapport, M. Philipe Tibi constate que les fonds français sont rarement capables de financer des « tickets supérieurs » à 30 millions d’euros. Cela est problématique dans la mesure où la dernière levée permettant à une entreprise de devenir une « licorne » ([183]) dépasse généralement les 100 millions d’euros. Il est donc nécessaire de poursuivre la dynamique engagée et d’accroître l’attention portée à la croissance quantitative et qualitative du nombre de fonds late stage et global tech. L’objectif est d’obtenir à terme dix fonds de capital-innovation gérant plus d’un milliard d’euros ([184]).
Proposition n° 32 : Accélérer le développement du marché du capital-risque et l’harmonisation du marché des capitaux en Europe pour réduire le différentiel d’attractivité avec les États-Unis et éviter le départ de pépites européennes pour des raisons liées à la recherche de financements.
Ce bilan appelle une remarque relative au double enjeu d’attractivité et de souveraineté qu’implique le fait d’attirer des capitaux étrangers au sein de cet écosystème. La rentabilité des fonds de capitaux français croît, ce qui les rend plus attractifs pour les capitaux étrangers. C’est une bonne chose : la souveraineté économique en matière de financement d’entreprises nationales ne saurait signifier qu’il faut que les entreprises technologiques françaises ne soient financées que par des fonds français. M. Paul François Fournier dresse un constat tout à fait similaire sur ce point : « Nous ne croyons pas pouvoir construire un écosystème qui ne soit pas un minimum ouvert sur le reste du monde », avant d’ajouter ne pas croire : « qu’un écosystème français uniquement financé sur les fonds français soit pérenne » ([185]). Des fonds américains ou des fonds étrangers peuvent permettre de consolider l’écosystème des start-up françaises et leur donner accès à un réseau de compétences ou à un réseau de relations.
En même temps, il convient, sur ce sujet, de trouver un juste équilibre. Aussi avantageux que soit le recours à ces fonds, il n’est pas sans risque puisqu’il peut favoriser les actes de prédation, ou encore les transferts technologiques. Cela peut impliquer, notamment, une vigilance des pouvoirs publics vis-à-vis des stratégies de prédation. Un certain nombre d’outils existent dans ce domaine, ce qui fait dire à M. Thomas Courbe, directeur général des entreprises au ministère de l’Économie des Finances et de la Relance, que les investissements étrangers en France, font l’objet d’un contrôle déjà étroit ([186]). Les enjeux de sécurité et d’ordre public, qui peuvent être opposés à la libre circulation des capitaux, sont entendus dans un sens assez large. Le nombre de secteurs susceptibles de protection a d’ailleurs été revu à la hausse dans un objectif de préservation de la souveraineté.
M. Thomas Courbe a toutefois souligné que le sujet est beaucoup moins avancé à l’échelon européen. Ainsi, le règlement 2019/452 entré en vigueur récemment sur le contrôle des investissements étrangers dans l’Union se révèle décevant ([187]). Il n’instaure pas véritablement un contrôle de l’investissement, mais favorise plutôt l’échange d’informations.
ii. À l’échelon européen, des efforts à poursuivre pour financer les deep tech et soutenir le développement d’un écosystème européen
Le nombre de dispositifs existants, tant à l’échelon européen, qu’à l’échelon national pour appuyer le développement des start-up est important. En France, avec la crise sanitaire, un nouvel outil, French Tech Bridge, a été créé. Il s’ancre dans un paysage déjà très fourni et parfois peu lisible (Bourses French Tech, bourses French Tech Emergence, plan Deeptech, fond French Tech souveraineté, les concours d’innovation, un fond French Tech accélération etc.). Un réel effort de lisibilité devrait être mené pour clarifier les aides disponibles, et les critères d’éligibilité associés.
Pour votre rapporteur, il serait utile que l’ensemble des aides disponibles pour soutenir les start-up et les deeptech soient répertoriées dans un tableau ou un fichier unique, en détaillant les critères associés à chaque aide, et incluant l’ensemble des concours d’innovation bénéficiant d’une dotation publique.
Lors de son audition, M. Jean-Noël de Galzain, président d’HEXATRUST a également insisté sur l’importance de faciliter l’accès aux financements pour les PME et les ETI : le taux des prêts qui leur sont proposés par la Banque européenne d’investissement sont prohibitifs. Il importe ainsi de veiller à flécher certains financements à destination des ETI, PME et start-up pour leur permettre de se financer plus aisément ([188]).
Enfin, il conviendrait de ne pas amoindrir les efforts déjà réalisés en faveur du financement du volet R&D, notamment à l’échelon européen. En effet, selon Mme Mariya Gabriel, commissaire européenne, le budget consacré au second pilier du programme Horizon Europe est en recul. Les 52 milliards prévus sont insuffisants ([189]).
Le troisième pilier du programme Horizon Europe présente en revanche une originalité intéressante avec la création d’un Conseil européen de l’innovation. Son ambition est de soutenir la création de « licornes » européennes en identifiant les start-up et PME les plus prometteuses. Les start-up et PME seront directement financées dans leur phase de développement la plus risquée : le passage de la recherche à la commercialisation. Le Conseil européen de l’innovation a commencé à fonctionner : 5 000 entreprises ont déjà été soutenues pour un total de quatre milliards d’euros. Un enjeu important dans le développement du Conseil européen de l’innovation tient au soutien des États membres. Ces derniers viennent pourtant d’amputer son budget de 200 millions d’euros. Il importe de continuer à soutenir les propositions européennes en faveur de l’innovation et d’y consacrer des moyens suffisants, à la hauteur des ambitions affichées.
De plus, l’impérative utilisation de la langue anglaise lors de la rédaction des dossiers visant des demandes de financement, à l’échelon européen, est susceptible d’engendrer des difficultés pour certaines entreprises. Autoriser la rédaction du dossier de candidature en langue française permettrait de faciliter et d’accélérer les procédures pour les entreprises candidates.
Concernant la promotion de l’innovation, l’acquisition de brevets représente un enjeu majeur. Lors de son audition, M. Charles Thibout, chercheur associé à l’Institut des relations internationales et stratégiques (IRIS) ([190]), a souligné l’importance des brevets dans la stratégie de puissance des GAFAM : ces acteurs ont largement bénéficié de l’externalisation de l’innovation via le rachat de brevets et de start-up. M. Didier Patry, directeur général de France Brevets a quant à lui relevé que la France devrait s’imprégner de la pratique consistant à acquérir des brevets plutôt que de se concentrer exclusivement sur la recherche et le développement interne. Ainsi, de très nombreux brevets sont disponibles sur le marché, qu’ils proviennent d’entreprises privées ou de laboratoires de recherche publics français ([191]).
Votre rapporteur considère donc qu’il est important de soutenir le financement des acquisitions de brevets par les start-up et les deeptech pour accélérer leur croissance, et soutenir efficacement l’innovation.
Proposition n° 33 : Encourager les entreprises françaises à développer des stratégies de captation de brevets, afin de leur permettre de résister aux pratiques agressives de leurs concurrents étrangers.
3. Protéger nos « licornes » face aux tentations de prédation
En 2021, la France comptabilisait quatorze « licornes » (start-up dont la valeur est supérieure à un milliard de dollars). Elle se situe à la troisième place au sein de l’Union européenne, derrière l’Allemagne (seize licornes) et le Royaume-Uni (vingt-neuf licornes) ([192]). À titre de comparaison, parmi les 372 « licornes » décomptées à la mi-juillet 2019, 182 étaient américaines, 94 chinoises et 45 étaient européennes ([193]).
Les États-Unis et la Chine possèdent une puissance d’investissement sans équivalent et ciblée sur les entreprises les plus valorisées. Le directeur exécutif en charge de l’innovation de Bpifrance a souligné, sur ce sujet, que près des trois quarts des ventes de parts des start-up françaises se réalisent auprès d’investisseurs français ou européens, et seulement 17 % auprès d’investisseurs américains. Toutefois, les parts acquises par les investisseurs américains sont en moyenne trois fois plus valorisées que celles acquises par les investisseurs européens. Les « licornes » françaises sont donc tout particulièrement exposées à un risque de prédation et de possible captation technologique ([194]).
Pour les protéger, il est nécessaire que les fonds d’investissement français et européens continuent de croître. Il importe aussi de rapprocher les industries traditionnelles et les entreprises de la deeptech afin de créer des possibilités de coopération et de rachat. Faisant le constat que le tissage entre l’écosystème du digital et celui des entreprises françaises souffre d’imperfections, Bpifrance a lancé la plateforme de mise en relation Tech in Fab.
La nécessité de ce rapprochement procède de deux constats. M. Paul François Fournier se dit ainsi convaincu que « nous allons vers une révolution de la deep tech, c’est-à-dire que les industries traditionnelles connaîtront la même rupture que le digital, avec des start-up venant disrupter les industries traditionnelles ». En outre, il importe que les start-up qui atteignent leur limite, en termes de capacité de distribution, par exemple, puissent être rachetées par les filières traditionnelles françaises ou européennes pour les intégrer et leur faire profiter de leur réseau de distribution et savoir-faire ([195]).
Il faut également souligner l’existence d’autres variables permettant de préserver l’intégrité des « licornes » françaises et européennes. C’est le cas notamment de la fluidité du marché. Il convient, comme l’a souligné M. Jean-Noël de Galzain, président d’HEXATRUST, de « massifier et de fluidifier le marché européen » pour que les entreprises, PME et start-up puissent avoir un accès plus rapide au marché des utilisateurs ([196]). Ce constat est également partagé par M. Benoît Darde, administrateur de Syntec Numérique, qui considère que le numérique a moins besoin de subventions, qu’il n’a besoin de marchés et d’opportunités de business ([197]), et par le général Grégoire de Saint-Quentin, président du cabinet de conseil Petra advisors : « les start-up progressent moins vite grâce aux subventions qu’aux commandes, car celles-ci donnent confiance aux investisseurs » ([198]).
L’effort de réalisation d’un marché unique numérique en Europe doit être poursuivi afin d’offrir aux « licornes » des perspectives de développement et de croissance avantageuses en France et en Europe.
L’État doit également exercer son rôle de gardien vigilant face aux stratégies de prédation économique. Le ministère de l’Économie, des Finances et de la Relance, a ainsi identifié plus de 250 menaces visant des entreprises de secteurs stratégiques au cours de l’année 2020. Le contexte de crise sanitaire a en effet augmenté les risques de stratégies agressives en raison de la fragilisation des fonds propres de certaines entreprises. Ces stratégies offensives peuvent prendre des formes très variées, de la prédation classique aux accords commerciaux avec transferts de technologie, en passant par des tentatives de déstabilisation informatique.
Votre rapporteur souhaite donc saluer, à l’occasion de ce rapport, l’action de ce ministère, en particulier de son service de l’information stratégique et de la sécurité économique, ainsi que celle de Bpifrance, et inciter le Gouvernement à maintenir ce niveau de vigilance.
C. développer une culture de la cyberprotection au sein des entreprises
1. Un impératif de vigilance face à l’accroissement de la menace cyber
La capacité des entreprises françaises à résister à une attaque cyber est un élément de souveraineté économique qui doit être, plus que jamais, pris en compte. La menace cyber a en effet connu une croissance importante qui correspond à une dynamique historique à laquelle est venue se greffer le facteur d’accélération qu’a été la crise sanitaire.
La tendance à l’augmentation de la menace cyber correspond, d’abord, assez logiquement, au développement des activités numériques. Ainsi que l’a résumé M. Arnaud Dechoux, responsable des affaires publiques « Europe » de l’entreprise Kaspersky, alors qu’en « 1994, on détectait un nouveau virus ou fichier malveillant par heure : le rythme est passé à un virus par minute en 2006, un virus par seconde en 2011 » ([199]). Ces chiffres continuent d’ailleurs à augmenter puisqu’ils sont passés de 350 000 virus détectés chaque jour en 2019 à 428 000 en 2020. Cette progression de 25 % des détections en un an est évidemment due à la situation de crise sanitaire et de prolifération de la menace cyber qui s’en est suivie. Elle s’explique, selon M. Dechoux par « l’élargissement de la surface d’attaque : augmentation du temps passé sur Internet, du travail à distance, avec des équipements souvent moins bien protégés que ceux des entreprises, et recours à des ressources éducatives en ligne »([200]).
Les échanges conduits avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Fédération française de la cybersécurité confirment une dynamique inédite de la menace cyber dans le cadre de la crise sanitaire. Lors de son audition, M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information a précisé qu’en « 2019, [l’ANSSI est intervenue] dans une cinquantaine de cas pour des questions de cybercriminalité ; en 2020, pour quelques 200 cas », en ajoutant que « ce quadruplement en un an est très inquiétant ; la courbe est véritablement exponentielle, et la tendance est la même en ce premier trimestre 2021, avec une quarantaine d’opérations actuellement ouvertes à l’ANSSI ».
De son côté, le groupement d’intérêt public Action contre la cybermalveillance (GIP ACYMA) a indiqué à votre rapporteur que 10 500 entreprises et 2 100 collectivités l’ont sollicité pour une assistance en 2020, le plus souvent pour des rançongiciels. Cette menace arrive désormais en tête du classement en 2020, alors qu’elle n’était qu’en 6e position pour les entreprises et pour les collectivités en 2019.
Les chiffres communiqués par M. David Ofer, président de la Fédération française de la cybersécurité démontrent une exposition générale des organisations et des acteurs économiques face au risque cyber. Ainsi, en 2020, « selon une étude d’un spécialiste de la cybersécurité, 91 % des organisations françaises ont été la cible de cyberattaques […] et 60 % ont subi plusieurs actes malveillants. 75 % et plus des attaques sont faites par des ransomwares (rançongiciels) en France comme dans le reste du monde » avant de rappeler, par ailleurs, « qu’une cyberattaque n’est pas forcément une paralysie du système d’information » ([201]).
La crise sanitaire a donc été un catalyseur pour les cyberattaques, la numérisation massive, forcée et rapide des entreprises ayant mécaniquement élargi le champ des possibles pour les acteurs malveillants du cyberespace. Ce constat est partagé par M. Alain Assouline, coprésident de la commission « Innovation et économie numérique » de la confédération des petites et moyennes entreprises (CPME) : « La crise sanitaire de 2020 a, pour nombre d’entreprises, marqué le début de leur transformation numérique […]. Par effet de symétrie, les cyberattaques ont cru de 400 % pendant la période »([202]). Cette transformation digitale parfois subie, et souvent mise en œuvre à marche forcée, a mécaniquement créé des vulnérabilités, dont des assaillants ont tenté de tirer profit.
Votre rapporteur considère que l’état actuel de la menace cyber appelle un niveau de vigilance inédit. Les chiffres relatifs au risque cyber sont d’ailleurs sous-estimés par construction, puisqu’ils sont « basés sur les déclarations des attaques, sur les plaintes des victimes et sur les interventions de l’ANSSI et des forces de l’ordre » ([203]). Cela fait dire, à M. David Ofer, qu’il existe « une différence colossale entre le nombre d’attaques non référencées et le nombre de plaintes déposées » ([204]). Trop peu de plaintes sont en effet déposées par les victimes sur ce sujet. D’après les éléments fournis à la mission, la France se situe au niveau international à la septième place avec 1 640 plaintes déposées par des victimes en 2020. Le Royaume-Uni arrive en tête de ce classement, 216 000 plaintes, suivi par le Canada (5 300), l’Inde (2 930).
Votre rapporteur insiste donc sur la diffusion nécessaire d’une culture de la cybersécurité à destination des entreprises, mais aussi des acteurs publics face à une menace globale et multiforme, et à une véritable « montée en compétences des cyberattaquants » pour reprendre les propos tenus par M. Arnaud Dechoux ([205]). Cela implique notamment de connaître les acteurs vers lesquels il faut se tourner en cas de difficulté, et de déposer plainte en cas d’attaque, pour favoriser le partage d’information et le suivi du risque cyber par les pouvoirs publics.
2. Une prise de conscience à construire avec les entreprises
Les auditions font apparaître, en effet, que les acteurs privés, notamment les TPE/PME, ne perçoivent pas de façon concrète la gravité que peut avoir une attaque informatique sur la vie d’une entreprise. Ces attaques sont pourtant « extrêmement dangereuses pour l’économie française dans la mesure où elles mettent en péril la pérennité des entreprises qui la composent ». Elles ont souvent des conséquences dramatiques. Selon M. David Ofer, près de « 50 % des PME qui ont subis une cyberattaque paralysante disparaissent dans les six mois qui suivent ». En outre, selon lui, « les grands groupes, à l’instar de Sopra Steria, récemment victime d’une attaque, s’ils ne sont pas menacés d’extinction, perdent, s’ils ne font rien, 20 % de leur valorisation six à huit mois après l’attaque ». Une meilleure prise en compte du risque cyber est donc un impératif de souveraineté économique.
Cette prise de conscience reste aujourd’hui inégale. Pour M. Jérôme Notin, directeur général du GIP ACYMA : « Les grandes entreprises s’en préoccupent assez, grâce à l’ANSSI et à la loi de programmation militaire, par exemple, mais pas les PME. Leurs patrons […] pensent ne présenter aucun intérêt pour les cybercriminels, puisqu’ils ne possèdent ni fichier clients ni propriété intellectuelle. Les événements de 2020 ont pourtant démontré que la menace cyber touchait tout le monde. Bloquer le réseau d’une PME prend quelques heures à un cybercriminel, qui en retire plusieurs milliers d’euros. Même si peu d’entreprises « passent à la caisse », et tant mieux, une telle opération reste rentable » ([206]).
Il existe donc incontestablement un défi de la sensibilisation au risque cyber à destination des entreprises, en particulier pour les plus petites. Votre rapporteur identifie à ce propos plusieurs leviers d’action permettant de réaliser des progrès à court et moyen terme.
À court terme, il est indispensable que les pouvoirs publics mettent en œuvre une communication proactive sur le risque cyber, à destination des entreprises, sur le modèle, par exemple, des spots télévisés diffusés à destination des citoyens sur les risques informatiques pendant la crise sanitaire. D’après M. Jérôme Notin, une « grande campagne de sensibilisation, sur le modèle de celle de la sécurité routière » devrait être lancée par les pouvoirs publics prochainement sur ce sujet. Selon lui, il ne manque « que des moyens financiers », mais « il suffit d’une volonté politique pour les débloquer » ([207]). Un guide à destination des TPE et PME concernant les gestes d’hygiène numérique a d’ores et déjà été élaboré en partenariat avec l’ANSSI, les chambres de commerce et d’industrie (CCI), les chambres de métiers et de l’artisanat (CMA) et le GIP ACYMA.
Votre rapporteur souhaite également insister sur la nécessité, pour l’État, d’assumer le coût financier de la promotion de la cybersécurité auprès des citoyens et des entreprises. Il salue, à cet égard, la mise en place d’une stratégie d’accélération sur la cybersécurité, annoncée par le Président de la République au mois de février 2021, dans le cadre du programme d’investissements d’avenir n° 4.
Il convient désormais d’engager un effort financier inédit ciblant les principaux acteurs de la chaîne de la protection numérique au sens large, soit l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le groupement d’intérêt public Action contre la Cybermalveillance (GIP ACYMA), le parquet national cyber, ainsi que la plateforme Pharos.
Proposition n° 34 : Augmenter les moyens financiers et les effectifs de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour répondre à la croissance de la menace cyber.
Proposition n° 35 : Consentir un engagement financier inédit à destination des acteurs de la protection numérique au sens large, c’est-à-dire la plateforme Pharos, le groupement d’intérêt public Action contre la Cybermalveillance (ACYMA) et le parquet national cyber.
La stratégie nationale pour la cybersécurité
Dans le cadre du plan « France Relance » et du 4ème Programme d’investissement d’avenir (PIA 4), le Gouvernement a annoncé le 18 février 2021 le lancement d’une stratégie nationale pour la cybersécurité.
Cette stratégie suit un objectif double : accompagner le développement d’une filière au potentiel économique et technologique important, garantir la sécurité numérique de la France et sa maîtrise technologique dans ce domaine.
Le financement de cette stratégie, qui correspond à un investissement total de 1,039 milliard d’euros, est réparti entre une part publique majoritaire (720 millions d’euros) et une part privée (319 millions d’euros).
Cette stratégie s’articule autour des cinq priorités suivantes :
– Développer des solutions souveraines et innovantes de cybersécurité ;
– Renforcer les liens et synergies entre les acteurs de la filière ;
– Soutenir la demande (individus, entreprises, collectivités et État) par un effort de sensibilisation et la promotion d’une offre nationale ;
– Former davantage de jeunes et professionnels aux métiers de la cybersécurité
– Soutenir les entreprises de la filière en fonds propres.
Son déploiement est en cours et a déjà donné lieu à des actions concrètes, avec le lancement des programmes et équipements prioritaires de recherche (PEPR), le soutien aux projets du Campus Cyber, le Grand Défi cyber ou encore la mise en place d’un « observatoire des métiers et des qualifications de la sécurité du numérique ».
Source : auditions de la mission d’information
Les auditions font également apparaître l’utilité de la démarche de labellisation des offres et la nécessité d’amplifier cette dynamique. Votre rapporteur salue, à cette occasion, les premiers efforts consentis en ce sens, via la création d’un label ExpertCyber, dont bénéficient aujourd’hui 90 prestataires aux compétences vérifiées.
Proposition n° 36 : Labelliser les prestations de cybersécurité pour renforcer la visibilité des acteurs privés sur la qualité des offres disponibles sur le marché.
À moyen terme, la promotion de la souveraineté numérique implique de travailler à l’émergence d’une offre française et européenne aussi complète et compétitive que possible. À l’heure actuelle, M. Jérôme Notin le relève à juste titre : « On trouve bien quelques acteurs français et européens de cybersécurité, mais il subsiste de nombreux « trous dans la raquette ». Ni les particuliers, ni les entreprises, ni les collectivités territoriales ne disposent pour l’heure d’une offre à cent pour cent souveraine. Un travail considérable reste à mener » ([208]). La variété de cette offre est également importante afin de permettre aux entreprises de taille réduite de bénéficier de produits conformes à leurs besoins et à leurs moyens financiers.
Sur ce premier point, il est donc nécessaire que les acteurs publics et privés travaillent à la structuration de l’offre française de cybersécurité, en renforçant sa diversité et sa lisibilité pour les acteurs concernés (voir proposition n° 42).
Enfin, il est également impératif de travailler à la couverture par les acteurs assurantiels du risque cyber, qui reste tout à fait insuffisante à l’heure actuelle. Ce marché ne représente actuellement que 40 millions d’euros, ce qui est très faible au regard des montants du marché assurantiel. Il faut donc encourager les acteurs de l’assurance à compenser leur futur « manque à gagner sur les polices d’assurance automobile en proposant de couvrir les risques cyber », alors que vont apparaître dans les prochaines années des véhicules autonomes.
Le développement de ce type de produits présente en effet un double avantage. Il permettra à la fois d’améliorer la quantification de l’impact des attaques informatiques sur les acteurs économiques et incitera beaucoup plus fortement ces derniers à intégrer ce risque au sein des aléas qu’il convient d’anticiper.
La mise en place d’un observatoire de la menace cyber à l’initiative du GIP ACYMA est une excellente initiative de ce point de vue. Elle permettra en effet de donner davantage de visibilité sur le nombre d’acteurs touchés et le coût du risque cyber ([209]) , et facilitera en conséquence l’appétence des acteurs économiques à le financer. L’investissement nécessaire pour une entreprise dans la cybersécurité correspond à une fourchette allant de 5 et 10 % de son « budget numérique ».
Proposition n° 37 : Systématiser la couverture du risque cyber dans les polices d’assurance.
Proposition n° 38 : Renforcer la sensibilisation des acteurs privés vis-à-vis du coût du risque cyber. Travailler également à l’amélioration des techniques de quantification de ce risque.
3. Une prudence nécessaire face au risque croissant d’espionnage économique
La protection contre l’espionnage économique est une nécessité alors que le numérique offre une palette nouvelle de possibilités pour récupérer des informations stratégiques. La numérisation accélérée d’un certain nombre d’entreprises, dans le contexte de la crise sanitaire, a mécaniquement créé des vulnérabilités, et donc des possibilités de pré-positionnement potentiels de la part de services de renseignement étrangers.
L’actualité récente a donné à voir, par exemple, des tentatives d’espionnage industriel à destination des laboratoires de recherche développement des vaccins contre la Covid-19. Le constat d’une recrudescence des pratiques d’espionnage industriel a été confirmé par un certain nombre d’acteurs auditionnés, dont l’entreprise américaine IBM, qui a indiqué avoir observé, par exemple, une campagne mondiale de phishing à l’encontre des entreprises en lien avec le développement du vaccin, comme la firme Pfizer, attaquée par un groupe de hackers chinois ([210]).
Votre rapporteur note, sur ce sujet, que les acteurs compétents sont pleinement mobilisés pour assurer de manière effective la protection des intérêts français. Leur action est notamment orientée par le service de l’information stratégique et de sécurité économique (SISSE), qui appartient au ministère de l’Économie, des Finances, et de la Relance. La publication régulière d’un « flash ingérence » par la direction générale de la sécurité intérieure (DGSI) démontre la vigilance importante des pouvoirs publics sur ce sujet.
Il n’en demeure pas moins que cette vigilance doit être partagée, ce qui implique la diffusion d’une culture de la sécurité numérique. Une sensibilisation spécifique des acteurs des technologies à forte valeur ajoutée doit être mise en œuvre, de façon préventive, et non uniquement lorsqu’un risque est identifié par les services. Cette dynamique, qui est déjà en partie à l’œuvre d’après les éléments dont dispose votre rapporteur, doit être poursuivie et amplifiée. Cette sensibilisation doit évidemment porter sur les choix technologiques effectués ou à effectuer par les acteurs, qui ne sont pas neutres sur les risques évoqués ci-dessus. Elle doit également être entendue au sens large et concerner les sous-traitants et fournisseurs des entreprises ciblées.
III. MOBILISER LA PUISSANCE PUBLIQUE POUR DéFENDRE LA SOUVERAINETé NUMéRIQUE FRANçAISE ET EUROPéENNE
A. La cyberdéfense, composante vitale de notre souveraineté numérique
1. Une ambition nationale qui doit s’appuyer sur l’échelon européen
La cyberdéfense est une composante essentielle de la souveraineté numérique française. Elle vise à protéger les infrastructures et acteurs stratégiques nationaux contre les menaces. Elle comprend de ce fait un volet défensif et un volet offensif qui doivent être articulés de façon complémentaire.
La politique de cyberdéfense française repose évidemment sur l’action de l’État au niveau national. Elle mobilise en ce sens un certain nombre d’acteurs et d’instances spécialisés (infra).
La politique de cyberdéfense revêt néanmoins également une dimension européenne face au besoin de disposer d’une masse critique suffisante pour peser dans le cyberespace. Ainsi que le relève le général de division aérienne Didier Tisseyre, commandant de la cyberdéfense française, c’est « à l’échelle européenne qu’il est nécessaire de penser la souveraineté numérique. Les États membres doivent relever le défi de la quantité et de la qualité des ressources humaines et capacitaires à détenir pour pouvoir conquérir leur autonomie stratégique ».
Cette dimension européenne ne doit donc pas être négligée, comme l’a rappelé M. Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique. Ce dernier a en effet insisté sur l’importance « de définir de nouvelles modalités de discussions avec nos partenaires européens et autres pour engager des actions concertées, mais respectueuses de la souveraineté de chacun. » ([211]).
Votre rapporteur est en accord avec ces premiers éléments de constat. Il considère en effet que la cyberdéfense française doit reposer sur des capacités autonomes garantissant la souveraineté nationale mais qu’elle ne saurait toutefois, pour ce même motif, être cantonnée au sein des seules frontières nationales. Il est en effet nécessaire que la France s’appuie sur une coopération avancée avec ses alliés et qu’elle porte, au sein des institutions européennes, la volonté intacte de construire des outils technologiques européens. Il s’agit en effet d’une condition essentielle pour minimiser progressivement les dépendances technologiques de l’Europe vis-à-vis de certains pays tiers.
2. Une politique nationale de cyberdéfense en phase de consolidation
En France, la mise en œuvre de la politique de cyberdéfense relève de l’État, mais fait intervenir un ensemble d’acteurs au service de la sécurité numérique nationale.
Le modèle de cyberdéfense française se caractèrise par une spécificité : la séparation entre le défensif et l’offensif. Ce choix vise en effet à limiter les conflits d’intérêts et à simplifier en conséquence la relation de confiance entre les différents acteurs concernés. Il n’empêche pas une coordination fine entre ces deux domaines via la gouvernance du centre de coordination des crises CYBER, le C4.
Le centre de coordination des crises CYBER (C4)
La coordination nationale s’appuie sur les mécanismes de gouvernance mis en place à la suite de la revue stratégique de cyberdéfense (RSC) de février 2018.
Le C4 a notamment pour mission de permettre :
– de partager l’analyse de la menace, préparer et coordonner les différents acteurs des ministères ;
– de traiter les crises d’origine CYBER ne nécessitant pas l’activation d’une cellule de crise interministérielle (CIC).
Son organisation comprend notamment :
– un niveau stratégique, qui se réunit de façon mensuelle ou de circonstance, sous la présidence du SGDSN, et coordonne notamment des groupes de travail et le plan d’action de la revue stratégique de cyberdéfense ;
– un niveau TECHOPS, qui permet le partage de l’analyse des modes opératoires adverses et de la menace.
Source : auditions de la mission d’information
Cette coordination s’effectue également au plus haut niveau dans le cadre du Conseil national du renseignement, qui est présidé tous les quinze jours par le Président de la République, et rassemble les six services du premier cercle du renseignement (DGSE, DGSI, DRM, DRSD, Direction du renseignement des douanes – DNRED – et Tracfin).
La direction du renseignement militaire (DRM)
La direction du renseignement militaire (DRM) est le service de renseignement des armées. Elle est placée sous l’autorité du chef d’état-major des armées.
La DRM figure parmi les services de renseignement du premier cercle, qui rassemble les services militaires (direction du renseignement et de la sécurité de défense DRSD, direction générale de la sécurité extérieure DGSE, DRM), les services du ministère de l’économie et des finances (Tracfin, Douanes), et la direction générale de la sécurité intérieure DGSI du ministère de l’intérieur. Pour rappel, le deuxième cercle de la communauté nationale du renseignement comprend les activités de renseignement des ministères : par exemple, le renseignement pénitentiaire, le renseignement des services territoriaux (préfectures).
La DRM exerce à titre principal les trois missions suivantes :
– l’appui aux opérations, en cas de déploiement des forces armées dans le monde, en complément des moyens d’action du commandement des forces ;
– l’anticipation, à une échelle de temps de six, douze, dix-huit mois, avec un objectif prédictif par l’élaboration de scénarios éclairant les responsables de la Défense, militaires ou politiques. Un point de situation est périodiquement présenté devant le Conseil de défense ;
– la veille stratégique, à long terme, dans un arrière-fond marqué par le retour de l’État et de l’affirmation de puissance. L’approche en termes de menace potentielle prévaut alors.
Source : auditions de la mission d’information.
Le volet défensif de la cyberdéfense française est essentiellement géré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), service à compétence nationale, rattaché au secrétariat général de la défense et de la sécurité nationale (SGDSN), lui-même placé auprès du Premier ministre. Créée en 2009, l’ANSSI a pour mission d’assurer la sécurité des systèmes d’information de l’État, d’appuyer les administrations et les opérateurs d’importance vitale face au risque cybernétique, de participer au développement des technologies de sécurité, et de promouvoir la culture de la cybersécurité auprès des citoyens et des entreprises. Elle est également impliquée dans la définition de la coopération avec d’autres États européens.
Comme l’a rappelé M. Guillaume Poupard, son directeur général, lors de son audition : « Aujourd’hui, toutes les administrations ont un rôle à jouer dans le domaine cyber ». L’ANSSI travaille donc avec l’ensemble des ministères, dans une approche transversale, qui correspond à la réalité actuelle de la menace.
La direction générale de la sécurité intérieure (DGSI) participe également de ce volet défensif. Rattachée au ministère de l’Intérieur, elle assure essentiellement trois missions que sont la lutte contre le terrorisme, la lutte contre l’espionnage et l’ingérence étrangère et, enfin, une action de protection économique face aux tentatives d’espionnage industriel. La DGSI contribue dans cette mesure à la prévention et à la répression de la menace cyber.
Le volet « offensif » de la cyberdéfense française ressort essentiellement des services du ministère des Armées, donc ceux de la Direction générale de la sécurité extérieure (DGSE), ou encore du commandement de la cyberdéfense (COMCYBER) et de la Direction générale de l’Armement (DGA).
La création du COMCYBER en 2017 a marqué l’aboutissement d’une phase de « montée en puissance » de la capacité de cyberdéfense du ministère des Armées depuis 2011.
Le commandement de la cyberdéfense (COMCYBER)
Placé sous l’autorité directe du chef d’état-major des armées, le commandement de la cyberdéfense (COMCYBER) est un commandement interarmées opérationnel et stratégique rassemblant, de façon hiérarchique ou fonctionnelle, l'ensemble des forces de cyberdéfense des armées françaises. Il dispose d’un centre d’opérations cyber colocalisé avec le centre de planification et de conduites des opérations (CPCO).
Créé en 2017, le COMCYBER a pour principales missions :
– la protection des systèmes d’information placés sous l’autorité du chef d’état-major des armées ;
– la conduite de la défense des systèmes d’information sur tout le périmètre du ministère des Armées, à l’exclusion de ceux de la direction générale de la sécurité extérieure (DGSE) et de la direction du renseignement et de la sécurité de la défense (DRSD) ;
– la conception, la planification et la conduite des opérations militaires de cyberdéfense, sous l’autorité du sous-chef d’état-major « opérations ».
Le COMCYBER participe également à la préparation de l’avenir et contribue à la politique RH du domaine cyber. Il coordonne la contribution des armées à la politique nationale et internationale de cyberdéfense, en participant notamment aux projets de coopération à travers la représentation militaire de la France à l’OTAN et l’UE, et coordonne la définition des besoins techniques spécifiques de cyberdéfense. Enfin, le COMCYBER assure la cohérence du modèle de cyberdéfense du ministère et sa coordination générale.
Le COMCYBER est membre du centre de coordination des crises cyber (C4) et contribue à l’analyse des crises d’origines cyber et à proposer des options de réponse.
Au-delà des entités régaliennes, le COMCYBER est au cœur d’un écosystème français de la cyberdéfense, en lien avec les industriels, les start-up et PME ainsi que les écoles et universités.
Fort de près de 3 400 cyber-combattants, le COMCYBER connaît un développement considérable ces dernières années pour faire face, dans le cadre des opérations militaires, aux nouvelles menaces pesant sur la France, et devrait compter environ 4 500 cyber-combattants à l’horizon 2025.
Source : auditions de la mission d’information.
La cyberdéfense française est désormais entrée dans une phase de consolidation qui doit se poursuivre. Les auditions indiquent que le modèle de séparation choisi entre les activités défensives et offensives est pertinent pour prévenir les conflits d’intérêts entre acteurs et garantir une forme de confiance dans le partage d’information.
Les échanges menés font également apparaître dans ce domaine un changement d’état d’esprit qu’il faut saluer. La coopération entre services tend progressivement à devenir la règle et le refus de partager certaines informations une exception motivée par des raisons légitimes. Les acteurs auditionnés ont également mentionné un sentiment de maturité nouvelle, depuis plusieurs années, chez les décideurs publics et dans l’opinion publique. Le recours au renseignement s’est « normalisé » : il est désormais davantage considéré comme un outil de souveraineté légitime et utile pour permettre à la France de défendre ses intérêts.
3. Un impératif : rester parmi les puissances « cyber » de rang mondial
L’ambition nationale de la France en matière de cyberdéfense doit être de rester parmi les puissances « cyber » de rang mondial, quitte à être, pour reprendre une expression employée lors des échanges menés « un petit parmi les grands ». L’essentiel est en effet de disposer de capacités d’action opérationnelles et autonomes permettant au pouvoir politique d’être en état de prendre ses décisions de façon parfaitement souveraine.
L’état actuel de la menace plaide fortement en faveur d’un investissement puissant pour garantir à la France une capacité d’action dans le cyberespace autonome et aussi complète que possible. La gestion du risque cyber est déjà, et va devenir encore davantage dans les prochaines années, un enjeu décisif de sécurité nationale. Les auditions indiquent, en effet, qu’est à l’œuvre depuis plusieurs années une « prolifération » de la menace cyber, qui se traduit par l’appétence de toutes les grandes puissances pour le développement et l’utilisation de capacités cyber. Les conflits récents ont ainsi pu donner lieu à l’expérimentation d’outils cyber de toute nature. Ainsi que l’a résumé le commandant de la cyberdéfense, le général de division aérienne Didier Tisseyre, « le retour à des politiques de puissance décomplexées menant des stratégies globales de remise en cause de l’ordre international, favorise les frictions. La compétition qui en découle, loin de geler les conflits, crée une situation propice également aux ambitions régionales de certains pays. Les conflits régionaux, allant parfois jusqu’à la haute intensité, impliquent ou sont instrumentalisés par les grands compétiteurs ».
Dans ce contexte, il est hautement probable que les adversaires de la France mobilisent de façon croissante ces capacités pour gagner en influence et défendre leurs intérêts. Le principal risque à cette heure, pour la France et l’Europe, tient notamment, selon le commandant de la cyberdéfense, « dans le déni d’accès, du jour au lendemain, à des ressources numériques essentielles, à l’occasion d’une crise avec l’une de ces puissances numériques ou avec son pays de rattachement, au titre de mesure de rétorsion/de coercition. Une telle situation aurait des conséquences directes sur la souveraineté européenne et française à très court terme, et indirectes à long terme ». Dans un contexte de durcissement de la conflictualité mondiale, « avoir une cybersécurité défaillante est un risque : les failles peuvent être exploitées par des puissances étrangères pour obtenir des effets stratégiques à partir de notre espace numérique ».
Au sein du nouveau champ de bataille que constitue le cyberespace, un pays en effet peut adopter, en somme, deux stratégies : se doter de capacités d’action et de riposte s’il en a les moyens, ou se trouver un protecteur, ce qui est difficilement compatible avec une défense ambitieuse de sa souveraineté. Les auditions menées ont permis de constater que la France appartient au « club » des rares pays disposant de capacités autonomes en matière de cyberdéfense. Cette situation doit être préservée. Elle est en effet la condition du maintien du niveau élevé de crédibilité dont la France jouit à cette heure dans ce domaine.
Votre rapporteur considère que plusieurs leviers peuvent être mobilisés en faveur de cet objectif :
– les moyens financiers, afin de s’assurer qu’ils suivent l’évolution de la menace ;
– les technologies, afin de disposer des meilleures capacités d’action tout en restant autonome ;
– les compétences, en améliorant l’attractivité des métiers de la cyberdéfense et en assumant une ouverture à des profils variés.
4. Les leviers d’une cyberdéfense efficace
a. Adapter les moyens budgétaires face à l’accroissement de la menace
L’accroissement de l’état de la menace cyber est indiscutable et doit être pris en compte par les pouvoirs publics. Cette évolution de la menace procède d’un élargissement du recours à l’outil cyber comme instrument de politique extérieure, selon des modalités qui dépendent du niveau d’avancement technologique respectif des pays concernés. La tendance, comme indiqué par M. Arnaud Dechoux, responsable des affaires publiques « Europe » de Kaspersky lors de son audition, est en outre à la sophistication de la menace ([212]).
Cet accroissement de la menace se traduit notamment, dans un contexte de dégradation de l’environnement international, que la crise Covid-19 et ses nombreuses conséquences fragilise encore davantage, par :
– de nouvelles formes de conflictualité utilisant des modes d’action hybrides, certains dans ce qu’on qualifie de « zone grise » et jouant avec le seuil de l’agression armée ;
– une guerre de l’information, permanente, de plus en plus préoccupante, qui passe notamment par les réseaux sociaux ;
– une course aux armements technologiques qui doit être conciliée avec le retour de la masse. Il est nécessaire de se préparer à la guerre de haute densité, y compris dans le domaine cyber ;
– un retour de la « guerre sale » et un « nouvel âge de l’impunité » constaté dans le comportement de certains acteurs internationaux. La Syrie en est un exemple ;
– une accélération de la cybercriminalité. Celle-ci ne cesse de progresser et de s’organiser en exploitant toutes les opportunités du cyberespace et en étant parfois les proxys, volontaires ou non, d’acteurs stratégiques.
L’attribution de moyens budgétaires à destination des acteurs publics pour gérer leur cybersécurité et assurer une cyberdéfense efficace doit donc évoluer en conséquence. Cette ambition doit concerner l’ensemble des acteurs publics, c’est-à-dire l’État, évidemment, mais également les collectivités territoriales et les structures de soins, dont la vulnérabilité a pu apparaître lors de la crise sanitaire.
Au sein de l’État, d’abord, les moyens financiers et humains des acteurs de la cyberdéfense doivent être revus à la hausse, afin de prendre en compte l’état de la menace. Dans cette perspective, votre rapporteur plaide en faveur d’une hausse du budget et des effectifs de l’ANSSI, d’une part, et souhaite émettre un point de vigilance vis à vis de la loi de programmation militaire (LPM) qui doit faire l’objet d’une veille pour s’assurer que son ambition correspond bien à l’évolution de la menace.
Proposition n° 39 : Veiller à ce que la trajectoire définie au sein de la loi de programmation militaire pluriannuelle soit en adéquation avec l’état de la menace et le niveau d’ambition porté par la France dans ce domaine.
Au sein des collectivités territoriales, ensuite, un effort de sensibilisation au risque cyber est nécessaire pour encourager ces acteurs à investir dans une protection efficace contre ce dernier. Ces derniers mois, plusieurs cyberattaques ont paralysé les services de collectivités, avec des conséquences importantes sur la continuité de leur action. Or, à l’heure actuelle, force est de constater que les situations entre collectivités sont très disparates sur la question de la cybersécurité. Cette situation doit donc être prise au sérieux et des efforts consentis dans ce domaine, avec l’accompagnement de l’État et des acteurs compétents.
Enfin, au sein des structures de soins, une vigilance particulière s’impose également. La crise sanitaire a démontré que les assaillants numériques n’hésitaient pas à s’en prendre à ces infrastructures, avec des conséquences d’une gravité potentiellement exceptionnelle au regard de la nature et des missions de ces établissements. La montée en gamme de leurs équipements informatiques et de leur niveau de protection contre le risque informatique est indispensable et doit être poursuivie.
Proposition n° 40 : Accélérer la mise à niveau des équipements numériques des collectivités territoriales et des structures de soins pour garantir leur résilience.
Votre rapporteur souhaite insister, en conclusion de ce premier point, sur la nécessité de veiller à disposer d’une visibilité sur les progrès réalisés sur la montée en gamme proposée ci-dessus. Il s’agit en effet d’un travail de veille complexe puisque s’exerçant sur un périmètre extrêmement large. C’est le sens, notamment, des propositions formulées précédemment en faveur d’un ministère de numérique de plein exercice qui aurait une capacité de pilotage inédite de ces enjeux transversaux.
b. Conserver une autonomie technologique maximale au sein des activités sensibles
Votre rapporteur s’est également interrogé sur l’équilibre à rechercher entre performance des solutions technologiques et indépendance nationale, puisqu’il n’est pas envisageable de voir la capacité opérationnelle des services de renseignement et de défense impactée à la baisse par le recours à des solutions dont ils deviendraient, finalement, en partie dépendants.
Les auditions font apparaître, d’abord, que cette recherche d’autonomie technologique est partagée par un certain nombre de pays développés ([213]). Dans le domaine du renseignement technique, force est de constater qu’il convient pour la France de continuer de prioriser une stratégie d’autonomie technologique maximale, ce qui préserve également la France de scandales d’espionnage tels que ceux qui ont touché plusieurs pays européens à la suite des révélations d’Edward Snowden. Plusieurs technologies critiques ont été évoquées lors des auditions, comme la cryptographie, l’Intelligence artificielle et le quantique. Elles ont trait au traitement et à la protection des données, afin d’être en capacité de valoriser leur collecte. Elles doivent être une cible prioritaire des investissements publics.
Votre rapporteur a conscience, qu’en Europe, un certain nombre d’États membres ne partagent pas l’idée d’une prévalence des équipements européens sur le recours aux équipements américains.
C’est le cas par exemple de la Lituanie comme l’a démontré l’audition du vice-ministre de la défense de ce pays, M. Margiris Abukevicius, qui a insisté sur la coopération transatlantique en matière de technologies et de cybersécurité, en des termes sans équivoque : « Il est absolument critique d’aller au-delà du périmètre de l’Union européenne. Bien entendu, il est logique de promouvoir l’usage de produits européens pour préserver notre industrie. Néanmoins, il me paraît primordial d’élargir le périmètre de notre stratégie en matière de cybersécurité et de la concevoir dans l’alliance transatlantique. Dans d’autres domaines, les exemples de coopération entre les États-Unis et l’Europe ne manquent pas, notamment en matière de sécurité. En tout cas, une alliance technologique entre les États-Unis et l’Europe aurait nécessairement un impact mondial. Dans cette alliance, chaque pays devrait promouvoir sa propre industrie et bâtir des chaînes d’approvisionnement efficaces. Notre vision doit toutefois porter au-delà de l’Union européenne pour inclure une dimension transatlantique, sachant qu’une coopération dans le domaine des technologies permettra certainement de revivifier cette alliance. » ([214]).
De même, M. Andrès Sutt, ministre du commerce et des technologies de l’information d’Estonie, a abondé dans ce sens en indiquant que « la géopolitique s’applique bien entendu aussi aux domaines du numérique et de la cybersécurité. Les liens transatlantiques entre l’Union européenne et les États-Unis sont extrêmement forts et ces liens sont à l’avantage des deux parties. L’ordre mondial a bénéficié au monde entier et à tous les pays au cours de ces trente dernières années. Nous avons beaucoup à gagner à poursuivre cette alliance stratégique avec les États-Unis. Certes, nous avons parfois des différends et sommes concurrents dans certains domaines, mais nous sommes fondamentalement du même côté. Ce lien transatlantique fort va dans l’intérêt de l’Union européenne dans son ensemble mais aussi de chacun de ses membres. » ([215]).
Votre rapporteur souhaite prendre évidemment une certaine distance vis-à-vis de ces positions exprimées : s’il en comprend les fondements, elles lui apparaissent néanmoins difficilement compatibles avec la construction d’une souveraineté numérique européenne.
Au niveau national, votre rapporteur est favorable au fait de prioriser fortement le recours à des technologies françaises ou européennes.
Cette approche maximaliste de l’autonomie technologique n’exclut pas néanmoins une forme de pragmatisme, dont l’utilisation du logiciel Gotham de Palantir par la DGSI est un exemple. S’il est évident que la situation actuelle n’est pas optimale, il est difficile de considérer qu’un autre choix était possible, au cours de l’année 2015, dans des circonstances très particulières et en l’absence d’alternative réelle. Il convient néanmoins de toujours envisager, dans ce cas, une « stratégie de sortie » à court ou moyen terme pour rester dans une logique de recours ponctuel et transitoire. De ce point de vue, la DGSI porte un projet ayant vocation à offrir une solution souveraine utile au service concerné, et le cas échéant à d’autres services de la communauté française du renseignement.
Dans un domaine proche, votre rapporteur souhaite également saluer la dynamique engagée autour du projet Artemis, qui doit permettre à la France de disposer d’une infrastructure souveraine de stockage et de traitement massif de données. Elle lui semble en effet démontrer la volonté des pouvoirs publics de défendre une doctrine de l’autonomie technologique maximale.
Proposition n° 41 : Appliquer une doctrine de l’autonomie technologique « maximale » en matière de renseignement et de cyberdéfense, en faisant du recours à des technologies extra-européennes une exception devant être motivée.
c. Soutenir, en conséquence, le développement des entreprises technologiques françaises et européennes
Le corollaire de la doctrine de l’autonomie technologique réside dans la capacité de la France à soutenir le développement de ses entreprises technologiques.
Les auditions font apparaître deux difficultés à ce sujet :
– un déficit de financement des acteurs technologiques, qui s’explique par les limites du marché des capitaux national et l’insuffisante harmonisation du marché européen des capitaux, mais aussi par des réticences de certaines institutions européennes à offrir des conditions de financement satisfaisantes. Ce point a notamment été soulevé par M. Jean-Noël de Galzain, président d’HEXATRUST. Ce dernier a pris l’exemple de l’action de « la Banque européenne d’investissement [qui] propose [certes] de l’aide, ce qui est un point positif [mais à des taux] de prêts allant de 13 % à 17 % par an [ce qui est] prohibitif. ». Il a également ajouté que « les solutions de financement existent, mais […] sont inaccessibles aux PME et aux ETI » avant d’insister sur la nécessité de « changer les mentalités » sur ce sujet ([216]). Des efforts sont néanmoins conduits au niveau national via la commande publique du ministère des Armées, ce qui doit être salué ;
– des risques de captation des savoir-faire technologiques en matière de défense par des acteurs étrangers souhaitant s’approprier ces technologies. Sur ce sujet, il convient « de se donner les capacités de réagir », pour reprendre les propos de M. Nicolas Blanc, délégué national au numérique, de la confédération française de l’encadrement–confédération générale des cadres (CFE-CGC), lors de son audition ([217]). Plusieurs exemples de rachat problématique ont été évoqués lors des travaux de la mission, dont ceux des entreprises Sentryo et Alsid, rachetées respectivement par les deux sociétés américaines Cisco et Tenable. Il faut donc que l’État reste vigilant et proactif sur ce sujet, en utilisant les outils dont il dispose pour s’opposer à certaines opérations préjudiciables à la protection de la souveraineté nationale.
Votre rapporteur souhaite insister, en conséquence, sur un double impératif :
– d’une part, que l’écosystème français du capital risque se développe davantage et que les grandes entreprises françaises augmentent leurs acquisitions, pour fournir une alternative aux fonds d’investissements étrangers ;
– d’autre part, qu’un arsenal réglementaire plus contraignant soit mis en place, le cas échéant, pour protéger nos entreprises sensibles d’un rachat par des capitaux étrangers.
La dynamique engagée en faveur de la création d’un campus cyber lui apparaît évidemment très positive. Cette initiative devrait en effet faciliter les échanges entre acteurs publics et privés et favoriser une dynamique d’innovation. Comme le résume M. Michel Van Den Berghe, l’objectif est de « structurer [le] marché de la cybersécurité », en aidant « à faire connaître ces PME, qui apportent de la cybersécurité dans les régions », pour créer « un maillage, et faire en sorte que les gens se parlent pour élever le niveau global de cybersécurité. »([218]). En rassemblant industriels, start-up, acteurs publics et le monde de l’enseignement et de la recherche sur un même campus, ce campus favorisera la circulation des compétences et le développement de solutions numériques innovantes.
Proposition n° 42 : Accélérer la dynamique de constitution d’un écosystème français et européen d’entreprises « cybertech ».
Votre rapporteur souhaite conclure ce point en rappelant que le développement des entreprises technologiques françaises passe nécessairement par une phase d’internationalisation qu’il faut maitriser mais accepter. Comme l’a rappelé M. Michel Van Den Berghe, président de la mission campus cyber : « nos start-up doivent également pouvoir évoluer et s’internationaliser sans nécessairement aller chercher des fonds outre-Atlantique. Il ne faut plus que les entreprises françaises qui commencent à bien fonctionner sur le territoire national soient obligées de créer un siège social à San Francisco pour pouvoir rayonner aux États-Unis. Il est possible de procéder autrement, mais nous devons nous en donner les moyens. Nous devons conserver des entreprises françaises capables de s’adresser à des clients internationaux sans basculer leur siège social aux États-Unis. » ([219]). Il s’agit là d’une condition essentielle pour permettre à ces acteurs d’atteindre une taille critique.
d. Renforcer l’attractivité des métiers de la cyberdéfense
Enfin, il ne peut y avoir de politique de cyberdéfense efficace et opérationnelle sans un vivier de compétences « à l’état de l’art », ce qui implique de travailler sur la capacité de recruter et de fidéliser des profils techniques au sein des services de cyberdéfense.
Les auditions font apparaître que l’attractivité des métiers du « cyber » reste importante en raison du caractère prestigieux des services concernés, mais que les acteurs publics souffrent de la forte demande de compétences similaires dans le secteur privé, qui se traduit par des propositions de rémunération élevées, et un niveau d’attente en matière de qualité de vie.
Ce sujet a été notamment abordé par le général de corps aérien Jean-François Ferlet, directeur du renseignement militaire, lors de son audution : « La difficulté est permanente. On ne forme pas assez de candidats en France. Il s’agit de nouveaux métiers dans une filière à fort potentiel. Une forme de « pillage » des talents est réalisée par les États-Unis et la Chine. Nous n’arrivons pas à être compétitifs dans la durée en termes de rémunération offerte, compte-tenu de la loi de l’offre et de la demande sur le marché, mais il est possible de fidéliser les talents, pour un temps, compte tenu de l’intérêt du travail à la DRM et s’agissant d’une génération en recherche de sens. »
Votre rapporteur se réjouit du fait que les métiers de la cyberdéfense demeurent attractifs auprès des jeunes talents. Il considère que la mise en place d’un campus cyber est également très positive de ce point de vue et note les efforts d’action commune entre les différents services, via l’harmonisation, par exemple, des grilles de rémunération entre les différents services, comme l’a précisé M. Patrick Pailloux, directeur technique de la Direction générale de la sécurité extérieure, lors de son audition.
Votre rapporteur invite néanmoins les pouvoirs publics à amplifier leur démarche en ce sens, en mettant en œuvre les évolutions organisationnelles et managériales nécessaires pour améliorer le cadre de vie de ces profils qualitatifs. Il convient également de leur offrir des modalités attractives d’évolution de carrière au sein du secteur public via la formalisation, par exemple d’un parcours cyber au sein de la sphère publique. La mobilité de ces profils doit être d’abord considérée comme une force, même si elle n’exclut pas, évidemment, une nécessaire vigilance. Elle est en tout cas de plus en plus indispensable pour rester au meilleur niveau dans des secteurs d’activité technologiques très évolutifs par construction.
Proposition n° 43 : Recruter davantage de profils techniques issus du secteur de la sécurité numérique, en rehaussant les rémunérations proposées et en adressant la question de la qualité de vie au travail.
Proposition n° 44 : Formaliser un « parcours public » cyber offrant des débouchés aux profils à haute valeur ajoutée recrutés par les acteurs de la chaîne de défense et de sécurité nationale.
B. RéUSSIR UNE transformation numérique RAPIDE ET SOUVERAINE des administrations publiques
1. Des débats légitimes sur le contenu et la gouvernance de la transformation numérique des administrations publiques
La transformation numérique des administrations publiques est indispensable pour répondre aux attentes des citoyens et renforcer l’efficacité de l’action publique. Cette évolution profonde implique des enjeux de souveraineté au regard des partenaires choisis pour mener à bien les différents projets qui y concourent. À l’heure actuelle, nombre d’acteurs publics utilisent en effet des solutions extra-européennes, parfois par nécessité, mais aussi par habitude et en raison de leur fiabilité parfois perçue comme meilleure que les produits concurrents.
La crise sanitaire a fait la démonstration du recours massif des particuliers mais aussi des administrations publiques aux solutions américaines. M. Nicolas Brien, directeur général de France Digitale, a considéré sur ce sujet que cela n’avait pas été « tellement fait par choix, mais plutôt par paresse », soulignant par ailleurs, que la crise avait permis de constater « qu’un processus grave était à l’œuvre : le désarmement technologique de l’État. (…). Cela se traduit de la manière suivante : dans les administrations, les personnes ne savent plus expertiser des solutions technologiques et se contentent de passer des contrats avec des intégrateurs (Capgemini, Sopra Steria, Onepoint). Cela peut donner l’illusion, comme ces intégrateurs sont français, que l’on achète français. Cela n’est pas du tout le cas : ces entreprises intègrent des solutions qu’ils ne produisent pas eux-mêmes et qui sont souvent des solutions sur étagère américaines. » ([220]).
Abordant les moyens, pour l’État, de reprendre le contrôle de son expertise technologique, M. Nicolas Brien a considéré que cette expertise technologique retrouvée ne pourrait résulter que de l’alternative suivante :
– soit la nomination d’un chief digital officer dans chaque administration et ministère, leur réseau devant permettre de « pousser la transformation digitale de l’État de manière offensive » ;
– soit la création d’une direction générale du numérique, sous l’autorité du ministre du numérique, cette direction générale regroupant la French Tech, l’ANSSI, certaines compétences du Conseil national du numérique et de l’ARCEP ainsi que toutes les directions des systèmes d’information de l’État. Interrogé par votre rapporteur sur le point de savoir si la direction interministérielle du numérique (DINUM) ne constituait pas déjà cette direction centrale du numérique, M. Nicolas Brien a répondu : « la DINUM n’est absolument pas cela. Aujourd’hui, l’expertise technologique est faible et éclatée. La DINUM n’est [en effet] pas capable de donner des instructions au DSI du ministère de la santé, par exemple. Dans ce cas de figure, le DSI s’en remettra au ministre de la santé ». Dans cette configuration, la DINUM aurait vocation à devenir « une administration aussi prestigieuse et puissante que la direction générale du Trésor. ».
En regard de ces options, la gouvernance actuelle pourrait être qualifiée de troisième voie, si l’on s’en tient à la présentation qu’en a faite M. Nadi Bou Hanna, directeur interministériel du numérique : « le système d’information de l’État repose sur le principe de subsidiarité. Chaque ministre, appuyé par sa direction du numérique, en est responsable sur son périmètre. La direction interministérielle du numérique (DINUM), placée sous l’autorité de la ministre de la transformation et de la fonction publiques, Mme Amélie de Montchalin, assure la cohérence d’ensemble, le portage stratégique en matière de numérique ainsi que l’animation de cette équipe. Nous jouons donc un rôle de capitaine d’équipe. Nous intervenons auprès du gouvernement pour le conseiller, pour assurer une coordination fonctionnelle des directions du numérique, pour partager les bonnes pratiques et pour contrôler l’exécution des grands projets informatiques. Ma direction intervient également en soutien à l’innovation, en appui et en animation des acteurs de la GovTech. Enfin, la politique de la donnée est un axe de force très important de notre activité, qui conditionne la maturation des politiques publiques : la DINUM apporte un appui aux administrations sur la gestion de ce trésor. La DINUM assure également un rôle de création et d’exploitation de solutions. La résilience de l’État dans le domaine du numérique est directement portée par ma direction, avec l’appui des autres directions du numérique. Cette résilience repose sur le réseau interministériel de l’État, mais aussi sur la mise à disposition de solutions numériques pour assurer la continuité du service public, même quand les agents travaillent à distance. » ([221]).
Votre rapporteur a donc souhaité réfléchir à l’organisation des politiques numériques au sein de l’État et aux modalités de leur pilotage qui pourraient être les plus efficaces.
Il convient d’abord, en amont de toute réflexion, de conserver à l’esprit les travaux du sociologue des organisations M. François Dupuy ([222]). Ce dernier critique, en effet, le raisonnement ordinaire postulant l’existence d’une meilleure et unique solution possible à un changement d’organisation, l’intelligence du dirigeant consistant à trouver cette solution et l’imposer à tous. Il convient de privilégier, à l’inverse, une approche pratique consistant non pas à rechercher une hypothétique meilleure solution, mais une première solution acceptable, dans un contexte et à un moment donné. Selon une telle approche, qui relativise d’une certaine façon le discours de l’anticipation et de la gestion prévisionnelle, transformer une organisation consiste à mettre les acteurs dans un contexte dans lequel ils trouveront des solutions différentes de celles adoptées précédemment.
Votre rapporteur est convaincu que la transformation numérique de l’État et de l’administration ne relève pas d’une approche du tout ou rien, mais plutôt d’un processus progressif.
Les auditions des ministres en charge de la transformation numérique de l’administration dans des pays, dont l’image est celle d’un parcours réussi, ont témoigné de l’opportunité d’une telle approche. M. Andrès Sutt, ministre du commerce et des technologies de l’information de la République d’Estonie, a souligné : « Nous avons tiré de notre expérience un certain nombre de leçons. La première est l’importance de la simplicité. Pour cette raison, nous avons dû progresser étape après étape, en évitant le développement d’un énorme système qui serait très lourd et probablement peu efficace. Avancer petit à petit est une méthode qui s’est révélée efficace, mais il est essentiel qu’au final, le design soit bon et le système globalement bien conçu. Les plateformes partagées ont permis une implémentation plus rapide et efficace. Enfin, la confiance du public et la transparence sont des points clés. » ([223]). Pour sa part, M. Marc Hansen, ministre délégué à la digitalisation du gouvernement du Grand-Duché du Luxembourg, a rappelé qu’« entre experts ou, du moins, entre ceux qui s’y connaissent en matière de nouvelles technologies, il arrive de céder à la tentation de « faire de l’art pour l’art », selon l’expression française consacrée, c’est-à-dire de recourir à la numérisation en vue de la simple satisfaction que procure le basculement vers le numérique. Nous ne devons pas perdre de vue dans l’intérêt de qui nous agissons, et nous demander si notre travail apportera une plus-value aux autres en tant qu’êtres humains, dans leur travail ou leur vie quotidienne. Une administration qui utiliserait le numérique uniquement par attrait pour les nouvelles technologies risquerait de perdre la confiance des citoyens et des entreprises. Il faut toujours songer à l’individu et à ce que la digitalisation lui apporte. » ([224]). Loin de toute forme de solutionisme technologique, le numérique doit donc d’abord être mis au service d’une projet politique pour être soutenu et compris : simplifier la vie des citoyens.
Pour apprécier la situation française actuelle, on peut prendre comme point de départ, les prescriptions du décret du 22 décembre 1986 relatif au développement de l’informatique, de la bureautique et des réseaux de communication dans l’administration ([225]), puisqu’il a constitué le socle de la gouvernance numérique de l’État pendant près de trente ans. Il n’a en effet été abrogé que par le décret du 1er août 2014 relatif au système d’information et de communication de l’État.
Les objectifs et les choix de gouvernance de l’informatisation de l’administration étaient, à cette époque, les suivants :
– l’amélioration de la qualité et de l’efficacité du service public et la simplification des relations avec les usagers ;
– la responsabilité de chaque ministre dans la conduite de l’informatisation de son administration au travers de l’établissement d’un schéma directeur de l’informatique, de la bureautique et des réseaux de communication (objectifs et orientations de la politique informatique du ministère, plan de développement avec les différentes étapes de la mise en œuvre des systèmes d’information, les architectures correspondantes et les programmes de recrutement et de formation des personnels). Ce schéma directeur prenait en compte le respect des normes et leur évolution, l’ouverture à la concurrence en matière d’équipement et de sous-traitance, la sécurité des systèmes, la protection des libertés individuelles et le souci de coordination des systèmes d’information au niveau local ;
– l’animation et la coordination de l’informatisation de l’administration confiée au comité interministériel de l’informatique et de la bureautique présidé par le Premier ministre ou, par délégation, le ministre chargé de la réforme administrative. Le comité interministériel devait recueillir les informations concernant les réalisations et les projets informatiques, bureautiques et de réseaux de communication, veiller à la cohérence des systèmes de communication utilisés, recenser et examiner les problèmes d’intérêt commun, ou encore suivre la mise en œuvre des différents projets.
Le passage de l’âge de l’informatique à celui de la donnée s’est déroulé sur un fond de questions qui demeure étonnamment le même. Passer de modes de fonctionnement traditionnels, segmentés et séquentiels (organisation en « silos »), à des fonctionnement transversaux, horizontaux et par projets suppose de faire coopérer, sous la responsabilité d’un chef de projet, des entités bénéficiant jusqu’alors d’un haut degré d’autonomie. Dans cette démarche, la segmentation des fonctions de direction a été et reste l’obstacle majeur à la prise en compte de la complexité des organisations.
Pour l’administrateur général des données ([226]), dans son rapport au Premier ministre sur la gouvernance de la donnée de décembre 2015, une telle permanence d’approche explique pour une grande part la difficulté, rencontrée par l’administration, à prendre le tournant de la « révolution numérique » engagée. « Si l’État a, de longue date, organisé son action autour de données scientifiques et administratives, il faut reconnaître que les choix d’organisation, les stratégies technologiques et les règles de gouvernance de ces données qui prévalent aujourd’hui encore résultent de choix organisationnels, de technologies et de cadres juridiques antérieurs à la révolution en cours. (…) Focalisé sur la fiabilité, la sécurité et la maîtrise des coûts, il a négligé l’interopérabilité, l’accessibilité et la capacité d’usage, et a donc toléré une culture de silos, des divergences de formats avec des qualités excessives ou au contraire dégradées, une sous-traitance excessive et une perte globale de souveraineté et d’autonomie sur ses propres données. »
Le diagnostic effectué, il convient désormais de retracer succinctement le cheminement suivi en matière d’adaptation de la gouvernance de l’État aux nouveaux enjeux du numérique.
2. Des progrès incontestables ont été réalisés depuis 2011
Des progrès notables ont été effectués en faveur de la transformation numérique de l’État et de la gouvernance des politiques numériques.
En 2011, la création d’une direction interministérielle des systèmes d’information et de communication de l’État (DISIC) a constitué une étape décisive au sein de cette dynamique. Cette direction, placée sous l’autorité du Premier ministre et rattachée au secrétariat général du gouvernement, avait pour mission d’orienter, d’animer et de coordonner les actions des administrations de l’État visant à améliorer la qualité, l’efficacité, l’efficience et la fiabilité du service rendu par les systèmes d’information et de communication.
Cette compétence d’orientation et de coordination s’est traduite par l’élaboration d’un cadre stratégique commun pour le développement des systèmes d’information et de communication des administrations de l’État et la recherche d’une mutualisation d’opérations (infrastructures, réseaux, services logiciels, systèmes de gestion) entre plusieurs administrations ([227]). La DISIC a défini dans ce cadre les démarches d’élaboration et d’actualisation des schémas directeurs des systèmes d’information et de communication des ministères (choix fonctionnels et technologiques) et les orientations à donner aux systèmes d’information à l’occasion de la réforme territoriale de l’État. Le directeur de la DISIC était informé, pour avis, de tout projet relatif au système d’information et de communication d’un certain montant.
En 2014, une nouvelle modernisation est intervenue avec la création, par décret, du système d’information et de communication de l’État. Ce dernier a permis de placer l’ensemble des systèmes d’information ministériels sous la responsabilité du Premier ministre. Il a consacré par ailleurs la notion de plan ministériel d’investissement pour les projets et activités de chaque ministère en ce qui concerne les systèmes d’information et de communication. Chaque plan devait être transmis pour avis au directeur de la DISIC, un avis conforme étant requis au-delà d’un certain montant.
La même année, est également créée la fonction d’administrateur général des données, placé sous l’autorité du Premier ministre ([228]). En concertation avec les administrations, l’administrateur général des données propose des stratégies d’exploitation des données produites, reçues ou collectées et élabore les moyens d’une meilleure exploitation des données (outils, référentiels et méthodologies).
La fonction d’administrateur général des données
Aux termes du décret n° 2014-1050 du 16 septembre 2014, qui institue sa fonction, l’administrateur général des données coordonne l’action des administrations en matière d’inventaire, de gouvernance, de production, de circulation et d’exploitation des données par les administrations – services centraux et déconcentrés de l’État ainsi que les établissements publics placés sous sa tutelle. Il organise, dans le respect de la protection des données personnelles et des secrets protégés par la loi, la meilleure exploitation de ces données et leur plus large circulation, notamment aux fins d’évaluation des politiques publiques, d’amélioration et de transparence de l’action publique et de stimulation de la recherche.
Initialement placé sous l’autorité du Premier ministre et rattaché au secrétariat général pour la modernisation de l’action publique, il est ensuite rattaché à partir de 2017 au directeur interministériel du numérique et du système d’information et de communication de l’État (DINSIC). Depuis 2019, le directeur interministériel du numérique (DINUM) exerce, à ce titre, cette fonction.
Source : Légifrance.
En 2015, un secrétariat général pour la modernisation de l’action publique (SGMAP) est institué, sous l’autorité du Premier ministre, comprenant une direction interministérielle pour l’accompagnement des transformations publiques chargée de plusieurs missions :
– la coordination et animation des travaux d’amélioration de l’action des administrations au profit des usagers ;
– la prise en compte des attentes des usagers, des agents et partenaires de l’État, l’amélioration et l’évaluation de la qualité de service ;
– la coordination des actions de simplification et d’allégement des formalités administratives ;
– l’animation de travaux de modernisation de la gestion publique ;
– le concours à l’adaptation de l’organisation des administrations de l’État à l’évolution de leurs missions et modes de gestion.
Une direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) ([229]) est également créée à cette occasion. La DINSIC reçoit alors une mission de coordination de l’action des administrations en vue de faciliter la réutilisation des informations publiques et administre le portail unique interministériel en vue de rassembler et mettre à disposition librement l’ensemble des informations publiques.
Cette dynamique de transformation s’est poursuivie en 2017, d’une façon différente. À la suite de la suppression du secrétariat général pour la modernisation de l’État, la direction interministérielle pour la transformation publique a été placée sous l’autorité du ministre chargé de la réforme de l’État. Elle est dirigée par le délégué interministériel à la transformation publique. La direction interministérielle du numérique et du système d’information et de communication (DINSIC) de l’État a quant à elle été placée, par délégation du Premier ministre, sous l’autorité du ministre chargé du numérique et rattachée au secrétariat général du gouvernement ([230]).
Enfin, deux évolutions en termes de gouvernance sont intervenues plus récemment :
– en 2019, la DINSIC a été transformée en direction interministérielle du numérique (DINUM) avec des objectifs similaires et chaque ministère met en place une structure de pilotage de ses actions en matière de numérique (transformation numérique des politiques publiques, développement des usages numériques, création et opération de services numériques, innovation numérique, exploitation du potentiel offert par les données, système d’information et de communication) ([231]).
– en 2021, a été désigné par chaque ministre, un administrateur ministériel des données, chargé d’élaborer la stratégie du ministère dans ce domaine, de coordonner les parties prenantes et d’être le point de contact des utilisateurs des données et des applications numériques dans son périmètre d’action, selon un positionnement hiérarchique lui permettant d’assurer ses missions en lien étroit avec les services du ministère. Il revient au directeur interministériel du numérique, en sa qualité d’administrateur général des données, algorithmes et codes sources, d’assurer la coordination. Il a également été désigné un référent « données, algorithmes et codes sources » auprès de chaque préfet de région pour accompagner les services déconcentrés de l’État ([232]).
La direction interministérielle du numérique (DINUM)
La direction interministérielle du numérique a été créée en 2019 pour assurer un pilotage plus efficace des politiques numériques de l’Etat. Elle est placée sous l’autorité de la ministre de la transformation et de la fonction publiques, Mme Amélie de Montchalin.
Sa mission est d’assurer la cohérence d’ensemble de la politique numérique de l’Etat.
La DINUM intervient auprès du gouvernement pour le conseiller, assurer une coordination fonctionnelle des directions du numérique, partager les bonnes pratiques et et contrôler l’exécution des grands projets informatiques. Elle assure également un rôle de création et d’exploitation de solutions, et porte les enjeux de résilience numérique au sein de l’Etat, avec l’appui des autres directions du numérique.
Elle comprend une direction de programme TECH.GOUV dont l’objectif est d’accélérer la transformation numérique de l’Etat, ainsi que trois départements :
– un département « Infrastructures et services opérés » (ISO) pour concevoir et opérer les services d’infrastructures à valeur ajoutée mutualisés entre les administrations, dont le réseau interministériel de l’État ;
– un département « Etalab » pour coordonner la conception et la mise en œuvre de la stratégie de l’État dans le domaine de la donnée, dont ses composantes juridique et sociétale ;
– un département « Performance des services numériques » (PSN) pour la conception et le soutien à la mise en œuvre des plans d’action interministériels de mutualisation, dématérialisation, pilotage des projets et qualité des services numériques.
Dans le cadre du plan de relance, la DINUM est chargée de gérer une enveloppe de 500 millions d’euros destinée à soutenir les projets de l’État en s’appuyant autant que possible sur l’écosystème numérique français et européen.
Source : auditions de la mission d’information
3. Des réformes indispensables pour garantir un pilotage efficace des politiques numériques
Votre rapporteur souhaite formuler plusieurs remarques vis-à-vis de ces différentes évolutions.
a. La création d’un véritable ministère du numérique
Il relève, d’abord, que certains choix effectués font l’objet de critiques qui lui semblent légitimes. C’est le cas, en particulier, de la scission intervenue en 2017 qui a éloigné la DINSIC et la DITP. Pour le Conseil national du numérique, cette réforme a « profondément réduit la capacité de réformer en profondeur le mode de fonctionnement et les missions de services publics. L’ancien SGMAP incarnait la cohérence entre les moyens mis en œuvre pour répondre aux enjeux de numérisation de l’État en portant une vision innovante et la mise en œuvre opérationnelle, technique et technologique de cette vision » ([233]).
Le CNnum recommande en conséquence de créer un ministère de la transformation de l’État et du numérique et le rapprochement dans une direction unique et interministérielle qui rassemblerait la DITP et les services de la DINUM en charge de la transformation numérique.
Votre rapporteur est favorable à cette proposition puisqu’il estime, en effet, qu’il est temps de passer « une étape supplémentaire » en consacrant l’existence d’un ministère du numérique de plein pied, doté d’une administration et de moyens propres, qui aurait pour mission de porter les politiques numériques au niveau national, européen et international. La gouvernance actuelle de ces politiques, qui doivent être pensées de plus en plus à l’échelle européenne et internationale, apparaît excessivement éclatée entre les ministères. Cette proposition recueille en outre de très nombreux soutiens au sein des acteurs de l’écosystème numérique et du Parlement. Elle avait d’ailleurs également été portée, il y a quelques mois, par notre ancienne collègue Mme Laure de La Raudière et par notre collègue M. Éric Bothorel, dans le cadre de leur groupe de travail créé au sein de la commission des affaires économiques de l’Assemblée nationale et consacré au suivi des conséquences de la crise sanitaire.
Proposition n° 45 : Créer un ministère du numérique, doté d’une administration et de moyens propres, et chargé de porter les politiques numériques aux niveaux national, européen et international.
Proposition n° 46 : Mettre en place un briefing hebdomadaire du Président de la République sur les questions technologiques en s’inspirant du modèle américain.
b. Une meilleure association des collectivités territoriales et du Parlement
Votre rapporteur souhaite, en outre, formuler deux autres propositions pour amplifier la transformation numérique des administrations publiques et améliorer le suivi des politiques numériques au Parlement.
Sur le premier point, votre rapporteur soutient un renforcement du volet numérique des contrats de plan État-régions. Cette demande légitime a été formulée par un certain nombre de collectivités territoriales lors des travaux menés par la mission d’information. La transformation numérique concerne en effet l’ensemble des administrations publiques et les collectivités territoriales doivent y trouver toute leur part.
Sur le second, il recommande de créer un document de politique transversale dédié aux politiques numériques, afin d’unifier leur suivi et de consacrer encore davantage leur importance lors des débats au Parlement sur le projet de loi de finances annuelle. À l’heure actuelle, ce suivi est rendu complexe par l’éclatement des différents projets menés, comme présenté ci-dessus.
Proposition n° 47 : Créer un document de politique transversale (DPT) dédié aux politiques publiques du numérique, en complétant en ce sens l’article n° 128 de la loi n° 2005 – 1720 du 30 décembre 2005 de finances rectificative pour 2005.
Proposition n° 48 : Renforcer le volet numérique des contrats de plan État-régions.
c. Une montée en gamme nécessaire des compétences et méthodes de gestion des projets numériques
Plusieurs autres évolutions sont également souhaitables, selon votre Rapporteur :
– l’internalisation des compétences stratégiques au sein de l’État, qui est indissociable de toute forme de souveraineté numérique, comme le rappelait le directeur interministériel du numérique, M. Nadi Bou-Hanna : « Je constate que 90 % à 95 % de la maîtrise des grands projets ou des technologies est aujourd’hui externalisée. Les couches d’externalisation s’empilent : elles impliquent des grands cabinets de conseil, l’assistance à maîtrise d’ouvrage, l’entreprise de maîtrise d’œuvre, l’opérateur externe… Au final, l’ordonnateur ne dispose pas d’une vue d’ensemble et ne maîtrise pas le dispositif. Il perd la main. Aucune forme de souveraineté numérique ne peut alors se développer. » ([234]). Le renforcement du recrutement par contrat de droit privé de profils techniques pour mener à bien les projets numériques de l’État doit y concourir, de même que la circulation des compétences numériques au sein de l’État, qui doit être encouragée.
– le décloisonnement de l’administration. De ce point de vue, l’annonce de la désignation d’administrateurs des données dans chaque ministère transpose, on peut l’espérer, la fonction de « chief data officier », c’est-à-dire la responsabilité spécifique de faire émerger et mettre en œuvre des décisions ou des politiques publiques fondées sur la donnée. Il convient sur ce point de rechercher l’émergence d’un « État plateforme ». Déjà suggéré par l’administrateur général des données, dans son rapport de 2015, il doit constituer le socle de la transformation numérique de l’administration. Le décloisonnement des relations entre les administrations doit leur permettre, avec l’accord des usagers, de prendre la responsabilité de recenser les différentes données disponibles et de leur offrir en retour un service personnalisé et simplifié. Un État plateforme faciliterait en effet les échanges entre administrations et avec les usagers au travers d’interfaces (API) sécurisées et sous le contrôle de l’utilisateur. Les fournisseurs de données et les fournisseurs de services pourraient s’appuyer sur le catalogue de référence des API disponibles. Cette stratégie implique de soutenir « l’extractibilité » des données « by design » et les choix d’architecture et de gouvernance permettant d’avancer vers l’utilisation en temps réel des données.
Proposition n° 49 : Accélérer la mise en œuvre d’une politique ambitieuse d’ouverture des données au sein des administrations publiques.
Proposition n° 50 : Créer un portail public rassemblant l’ensemble des offres numériques françaises disponibles.
– la promotion de méthodes de gestions de projets modernes et efficaces. Un travail de veille doit être mis en œuvre dans ce cadre par les acteurs pour moderniser leurs pratiques.
Proposition n° 51 : Assurer un travail de veille pour intégrer dans la gestion des projets numériques les méthodes de travail et d’organisation les plus performantes.
– la volonté de promouvoir une démarche d’administration agile. Les processus numériques de ce type développent les services et les systèmes à partir des besoins des utilisateurs, en organisant un retour d’expérience continu. De ce point de vue, FranceConnect, ouvert à toutes les administrations, permet au citoyen de se connecter à tout service public et de déterminer lui-même des échanges de données entre les différents systèmes pour simplifier des relations avec l’administration.
Le volet numérique du plan de relance
Le plan de relance intègre un volet numérique puissant, de l’ordre de 7 milliards d’euros investis sur deux ans, dont 2,3 milliards d’euros destinés à la transformation numérique de l’État, des territoires, et des entreprises, 300 millions d’euros destinés à la formation aux métiers du numérique et 800 millions d’euros investis dans le « numérique du quotidien » (plan France Très Haut débit et inclusion numérique ».
Les financements d’appels à projets correspondants portent sur les thèmes suivants :
– l’amélioration de l’efficience des services publics, par l’optimisation des fonctions supports (apport aux agents des données, des analyses et des simulations dont ils ont besoin au quotidien) et l’automatisation des tâches les plus répétitives (saisies multiples, contrôles de pièces, etc.). L’objectif poursuivi est de surmonter, par le levier numérique, des freins fréquemment rencontrés par les administrations (activités présentant une forte consommation de ressources, tâches répétitives à faible valeur ajoutée pour un agent qualifié, ruptures applicatives dans le système d’information). Ces projets pourront faire appel à l’Intelligence artificielle ;
– la conception et l’accompagnement de la transformation des organisations et des métiers par le numérique. Le projet peut porter sur le diagnostic du potentiel de transformation numérique du métier, du service ou de la structure, la construction d’une vision cible de cette transformation, et le déploiement de la trajectoire à suivre. Les projets ciblés ne peuvent pas se limiter à la refonte d’un système d’information métier ou au déploiement d’un équipement connecté. Le point de départ de la démarche doit consister en une réflexion sur les missions, les processus, les métiers, les organisations ou l’évolution des pratiques de travail, et non se limiter au déploiement d’un levier numérique pré-identifié. Les projets doivent être menés en associant les personnels concernés par la transformation ;
– la transformation numérique des écosystèmes. L’objectif est de permettre la mise en œuvre de politiques publiques au moyen de services numériques rassemblant les parties prenantes sur une même plateforme numérique. Les projets doivent prendre en compte l’évolution des pratiques numériques et des attentes des citoyens, agents, associations, entreprises (accessibilité des services numériques, démarches itératives de co-construction, respect des données personnelles, usages en mobilité, simplicité du langage administratif, etc. ;
– la professionnalisation des filières numériques publiques. L’objectif est d’attirer au sein des organisations publiques des experts du numérique ou de développer et faciliter la montée en compétences et la reconversion des professionnels déjà employés ;
– l’extension territoriale des bonnes pratiques numériques visant à répliquer des projets et des solutions numériques mis en œuvre avec succès dans un service territorial de l’État ;
– la dématérialisation des démarches administratives, dans un objectif de simplification de la vie quotidienne des citoyens.
Source : mission d’information
4. Une ambition de souveraineté qui implique des choix ambitieux
a. Faire du recours au logiciel libre un principe effectif au sein des administrations publiques
Le recours au logiciel libre au sein des administrations publiques doit être fortement encouragé et devenir un principe ne souffrant que d’exceptions dûment justifiées. Il s’agit, en effet, de réduire la part des solutions logicielles propriétaires, notamment non européennes, utilisées par défaut alors que des solutions alternatives ont fait la démonstration de leur utilité.
La défense de ce principe doit constituer, en effet, l’aboutissement de la politique menée en ce sens par l’État ces dernières années via :
– l’instruction du Premier ministre du 19 septembre 2012, qui fixe les grandes orientations à suivre dans ce domaine. Le choix du logiciel libre y est considéré comme un choix raisonné devant la contrainte budgétaire croissante et la valorisation des compétences et de l’expertise professionnelle des équipes informatiques qui ne doivent pas être de simples acheteurs de solutions. Le logiciel libre, utilisé dans un contexte de développement agile, permet l’ajout de fonctions au fur et à mesure de la définition des besoins en rapport avec les utilisateurs, ce qui permet de procéder, d’une manière limitée, par « essais/erreurs ». Ce modèle nécessite également la mise en place d’une communauté de contributeurs et une approche modulaire, la constitution d’un réseau d’experts dans l’administration permettant de faire profiter l’ensemble des administrations des expertises ponctuelles nécessaires. Le logiciel libre n’étant pas synonyme de gratuité, il convient de veiller à assurer le contrôle des coûts de fonctionnement et de maintien de la performance dans le temps ;
– l’article 16 de la loi du 7 octobre 2016 pour la République numérique qui dispose que les administrations veillent à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information et encouragent l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation de tout ou partie des systèmes d’information ;
– l’instruction du Premier ministre du 27 avril 2021 faisant de la politique de la donnée une priorité stratégique de l’État dans ses relations avec tous ses partenaires, qui insiste à nouveau sur le fait que cette ambition, outre le renforcement de l’ouverture des codes sources et des algorithmes publics, passe par l’usage du logiciel libre et ouvert. Lors de son audition, M. Stéfane Fermigier, co-président du conseil national du logiciel libre, s’il s’est réjoui de l’annonce par le Premier ministre de la création de la Mission « Logiciels libres » a regretté une situation contrastée quant à l’utilisation du logiciel libre dans l’administration : « nous avons constaté des niveaux de maturité variables selon les administrations. Tout dépend des circonstances. Il suffit parfois d’un directeur des services informatiques (DSI) enthousiaste pour qu’une attitude proactive s’impose. Aujourd’hui, le constat s’impose que des ministères jusque-là fortement impliqués dans l’utilisation du logiciel libre semblent s’orienter vers d’autres solutions. Malgré la volonté de mettre en avant la notion de souveraineté, peut-être de manière trop abstraite, de plus en plus d’acteurs se tournent vers des fournisseurs de cloud américains. Les contraintes qui en découlent risquent de contrecarrer à terme l’expansion des éditeurs de logiciels libres, mais aussi de l’industrie européenne du cloud. » ([235]).
C’est dans cette optique que votre rapporteur souhaite faire du recours au logiciel libre une obligation au sein de l’administration, le recours aux solutions propriétaires devant devenir progressivement une exception.
Proposition n° 52 : Imposer au sein de l’administration le recours systématique au logiciel libre, en faisant de l’utilisation de solutions propriétaires une exception.
b. Privilégier le recours à des solutions numériques françaises et européennes au sein des administrations publiques
Dans le prolongement de cette idée, il convient également de privilégier, au sein des administrations, le recours systématique à des solutions numériques françaises, ou à défaut européennes, lorsque leur niveau de performance est satisfaisant pour les usages concernés.
Ce principe doit concerner l’ensemble des administrations publiques.
Proposition n° 53 : Imposer au sein de l’administration le recours systématique à des solutions numériques françaises, lorsque leur niveau de performance est satisfaisant pour les usages concernés.
c. Faire preuve de réalisme et de méthode pour mener à bien des projets dont le degré de complexité est souvent élevé
La gouvernance politique de la transformation numérique n’est pas simple à mettre en œuvre et nécessite une bonne compréhension de la contrainte technique qui la conditionne. L’exemple du Health Data Hub et des données de santé le démontre.
Une première difficulté tient aux conséquences « mécaniques » de la commande politique, lorsque celle-ci « fantasme » le pouvoir qu’aurait le politique d’imposer un calendrier technologique « ambitieux ».
Les acteurs auditionnés par la mission ont tous pointé les mêmes conséquences d’une approche de ce type :
– M. Dominique Pon, responsable ministériel du numérique en santé a souligné l’importance d’une commande politique techniquement avisée : « S’agissant de la situation du Health Data Hub, je comprends que la commande politique donnée exigeait de construire une plateforme d’hébergement des données de santé dans un cloud, à très court terme et avec un niveau de sécurité très élevé. Cela signifie que, dans tous les cas, la commande politique court-termiste conduisait au choix d’un cloud qui n’était pas souverain. À l’état de l’art, compte tenu des délais et des exigences de sécurité donnés, il n’était pas possible de faire le choix d’un cloud souverain. » ([236]) ;
– M. Nadi Bou Hanna, directeur interministériel du numérique a de même replacé la commande politique dans une confrontation avec la réalité du marché : « le projet du Health Data Hub revêt un enjeu politique majeur et affichait un échéancier non négociable. Lorsque ce projet a été lancé, la seule plateforme qui était techniquement compatible avec l’ambition du projet, tel que cela a été analysé par le ministère de la santé, était celle de Microsoft. (…) Sur un projet de cette nature, nous n’allons dégrader ni le besoin client, ni la promesse politique. (…) Il n’y a pas de dogme s’agissant du Health Data Hub – il y a simplement un constat de réalité. Le souhait de l’ensemble des parties est que de nouvelles offres d’hébergement puissent émerger, qui remontent les couches, c’est-à-dire qui ne se contentent pas du niveau le plus bas (l’infrastructure) mais qui soient capables de remonter au niveau de la plateforme et des services à valeur ajoutée. » ([237]) ;
– Mme Stéphanie Combes, directrice du groupement d’intérêt public dit Health Data Hub, a insisté sur le fait que, compte tenu des exigences de sécurité, de performance et de délai fixés par la commande politique, la solution du logiciel Azure de Microsoft était la seule à répondre à toutes ces exigences. « Les acteurs français ne proposaient pas les fonctionnalités dont nous avions besoin. Si nous avions publié un marché public, Microsoft y aurait répondu et Microsoft l’aurait remporté. S’agissant du choix des partenaires technologiques, j’ai d’abord pensé à TeraLab et au centre d'accès sécurisé aux données (CASD) qui sont les acteurs de la statistique publique. Nous nous sommes tournés vers les solutions américaines très tardivement. Nous avons élargi nos recherches, lorsque nous nous sommes rendus compte que les acteurs n’étaient pas en mesure de répondre à notre cahier des charges. Nous avions un vrai problème si nous n’étions pas capables de mettre en place une plateforme de data science en santé avec des outils sur étagère. En fin de course seulement donc, nous avons commencé à interroger Microsoft, AWS et Google Platform. » ([238]).
Après avoir insisté sur la considération selon laquelle « Le HDH n’est qu’une surcouche. Les données de santé des Français ne sont, à 99 %, pas dans le HDH aujourd’hui. Elles sont stockées dans les data centers des différents hôpitaux, des laboratoires qui sont pour la plupart hébergés chez des Français », M. Cédric O, secrétaire d’État chargé de la transition numérique et des communications électroniques a insisté sur l’objectif poursuivi consistant, à la fois, dans la création de champions de la santé numérique et dans l’amélioration de la santé des Français : « Cette décision a été prise dans le cadre de la présentation par le Président de la République du plan sur l’Intelligence artificielle en mars 2018. Elle a donné lieu à la consultation de dix-neuf entreprises sur l’outil mis à la disposition du HDH. La seule entreprise qui répondait début 2019 aux critères techniques de performance, de capacité à développer ces algorithmes, était Microsoft. Il a alors été décidé de démarrer tout de suite avec Microsoft une phase expérimentale de développement, parce que cette société était en avance dans le domaine de l’Intelligence artificielle. D’ailleurs, si vous discutez aujourd’hui avec les entreprises de l’Intelligence artificielle, elles vous feront toutes part de l’extrême avance des groupes américains » ([239]).
Votre rapporteur tient toutefois à présenter ici quelques remarques concernant la conception et la mise en œuvre du Health Data Hub. Il a en effet pu noter, à l’issue des entretiens et auditions qu’il a pu mener sur le sujet, que la construction du Health Data Hub s’est objectivement opérée sans tenir compte des solutions existantes, qui auraient pu être des modèles, et contre l’avis des autres co-concepteurs du projet ; que la réversibilité du système n’a pas été prévue à l’origine et que s’est manifestée une volonté assumée de continuer avec Microsoft, même contre les engagements des ministres, ce qui pose un réel problème de gouvernance. Voilà qui, selon votre rapporteur, peut engendrer à terme un problème de confiance des citoyens, vis-à-vis des conditions de protection et d’utilisation de leurs données de santé.
Une seconde difficulté au sein de ce type de projets peut tenir à la qualité de la donnée, qui est un enjeu décisif pour faciliter la réussite des projets numériques actuels et à venir avec le développement de l’Intelligence artificielle.
La capacité d’homogénéiser la donnée et de s’assurer de sa mise en forme, indispensable pour son traitement, est un sujet majeur comme l’avait déjà relevé le rapport remis au premier ministre, le 23 décembre 2020, par notre collègue M. Éric Bothorel sur la politique publique de la donnée, des algorithmes et des codes sources. Ce constat est partagé par le Pr Marc Cuggia, professeur des universités, praticien hospitalier au centre hospitalier universitaire de Rennes : « nous sommes confrontés à des problématiques très complexes de qualité de données. En France, notre système de données de santé est extrêmement fractionné : aucun système d’information ne ressemble à un autre. L’enjeu de collecter les données et de les harmoniser est essentiel, et implique tout un panel d’acteurs. Cela implique des actions tout au long de la chaîne de production de données et d’expertise. C’est tout l’enjeu des centres de données cliniques. » ([240]).
Le Dr Laurent Treluyer, directeur des systèmes d’information de l’Assistance publique-Hôpitaux de Paris (AP-HP), est aussi revenu sur ce point lors de son audition : « il existe une notion de proximité s’agissant des données. Nous constatons tous la difficulté de mettre ensemble des données d’origines diverses dans un monde peu standardisé et non normalisé. Il est illusoire de rassembler dans un même entrepôt de données de santé, par exemple, l’ensemble des données de biologie et de vouloir en tirer de la valeur. Nous avons donc souhaité mettre en place la proximité avec la donnée et la proximité des outils avec nos chercheurs. » ([241]).
Une même démarche d’application de l’Intelligence artificielle pourra donc justifier des choix techniques différents en fonction des spécificités à prendre en compte pour la réussite à long terme du projet.
Le pilotage des projets de transformation numérique d’ampleur implique de suivre plusieurs principes, qui ont été résumés à votre rapporteur par Mme Élisa Salamanca, responsable du département web, Innovation, Données de la direction des systèmes d’information de l’Assistance publique-Hôpitaux de Paris (AP-HP)([242]).
Il convient d’abord de bien distinguer les différents cas d’usage. Dans le cas de la construction d’un entrepôt de données médicales, il s’agit de la mise à disposition des données à des fins de recherche, de l’utilisation des données médicales pour piloter l’activité hospitalière et de la réutilisation des données pour l’innovation numérique.
Il convient ensuite de refuser les a priori restreignant les marges de choix organisationnels ou techniques. Par exemple, le choix de l’open source pour l’entrepôt de données résulte à la fois du constat de l’absence d’outil sur étagère et de ses avantages propres, tenant à l’existence d’une très grande communauté et à la garantie d’indépendance. Mais « si d’excellents outils étaient mis sur le marché et qu’il était plus simple et moins coûteux de recourir à des logiciels sur étagère, nous le ferions. » ([243]). Ainsi, un outil existant sur le marché pour le pilotage de l’activité hospitalière a été retenu pour des motifs de rapport coûts/efficacité. Une même démarche vaut pour la question du choix de l’infrastructure on premise ou en cloud. La première considération expliquant le choix d’une infrastructure sur site tient aux préoccupations exprimées par les contributeurs à la donnée – la communauté médicale – en ce qui concerne la maîtrise de celle-ci et le transfert de données médicales à des tiers. La seconde considération tient à l’absence de besoin technique de recourir à des infrastructures de cloud extérieures, compte tenu de la puissance de calcul actuellement nécessaire. Mais le pragmatisme prévaut également en ce domaine : « pour le moment, notre infrastructure supporte la charge de nos besoins en matière de puissance de calcul. Nous savons cependant que nous devrons faire face, à l’avenir, à des puissances de calcul supplémentaires auxquelles nous ne pourrons pas répondre. Il n’y a pas d’opposition au cloud de notre part. Nous sommes face à un vrai sujet technique. Nous menons actuellement des projets pilotes, des expérimentations et des collaborations avec différents fournisseurs de cloud » ([244]).
Il convient enfin de penser la complémentarité des activités. Le Pr Marc Cuggia a ainsi souligné le large partage d’expérience réalisé par le Ouest Data Hub avec les autres établissements en ce qui concerne la structuration des entrepôts de données, la qualité, la protection, la gouvernance et les usages : « cela crée un effet d’entraînement national très important, qui se traduit par la mise en place d’entrepôts de données dans la plupart des CHU de France et dans les centres de lutte contre le cancer, ainsi que par la création d’équipes spécialisées dans ces domaines. » ([245]).
Il est enfin souhaitable de veiller au respect d’un ensemble de prérequis au sein des projets numériques dont :
– l’intégration de la cybersécurité le plus en amont possible des choix de développement (principe de security by design et de privacy by design) ;
– la création et du maintien d’un lien de confiance avec les parties prenantes : la chaîne de confiance est fondamentale pour exploiter des données produites par différents services d’hôpitaux de manière transversale ;
– l’impératif de disposer de multiples compétences humaines au niveau requis. Le Pr Marc Cuggia y a insisté à partir de l’expérience du Ouest Data Hub : « l’infrastructure ne fera pas l’innovation. L’enjeu principal réside dans le potentiel humain de formation et d’interdisciplinarité sur le terrain qui nous permettra d’avoir collectivement une chance de développer une souveraineté sur les enjeux du numérique en santé » ([246]). Il en a été de même de la part du Dr Laurent Treluyer, à partir de l’expérience de l’AP-HP : « il s’agit de valoriser les activités d’un CHU avec toutes ses compétences : à la fois les compétences informatiques, de data scientists, de valorisation de la donnée et les compétences en recherche clinique. L’AP-HP réunit des personnes qui produisent de la donnée et des chercheurs cliniques. Cette confrontation permanente, qui s’incarne dans la notion de campus, crée de la valeur. » ([247]).
Une démarche pragmatique de ce type peut manifestement trouver des champs d’application au-delà du seul domaine de la santé. Comme Mme Laurence Jay-Passot, déléguée générale du groupement de coopération sanitaire des hôpitaux universitaires du Grand Ouest (HUGO) l’a souligné : « Le modèle de hub est absolument reproductible dans d’autres domaines, si on le conçoit comme un dispositif qui permet de mutualiser uniquement ce qui doit l’être et que l’on arrive à penser des systèmes de gouvernance agiles, qui continuent à s’appuyer sur toutes les compétences disponibles dans les centres locaux. Nous y croyons très fortement. Il existe plusieurs sujets – et les données massives en santé en sont un – pour lesquels le modèle de hub sera pertinent, s’il est dupliqué à l’échelle interrégionale sur l’ensemble du territoire. » ([248]).
Le Pr Marc Cuggia en a apporté la confirmation : « ces réflexions dépassent les données de santé stricto sensu et s’appliquent également à des projets mettant en œuvre des approches similaires, en lien avec les citoyens. Je citerai trois expériences auxquelles nous sommes associés. D’abord, Rennes Métropole travaille à mettre au point un portail des données personnelles qui vise à exploiter les données de transport, d’énergie, de santé à des fins de recherche et d’innovation. Une réflexion de hub pourrait être mise en place à ces fins. Ensuite, l’université de Sherbrooke au Québec a mis en place un projet similaire de système d’information apprenant ; le projet Pulsar de l’université de Laval, enfin, fait le lien entre les données de santé et les données de territoires. Des projets d’innovation très importants existent donc, qui ont un lien très fort avec les citoyens. » ([249]).
C. Une capacité d’anticipation à consolider pour assurer notre autonomie stratégique
Les auditions indiquent que plusieurs segments technologiques doivent être au cœur des financements publics ces prochaines années. Les technologies de l’Intelligence artificielle, du cloud, de la blockchain ou encore de la cybersécurité sont, et seront encore davantage critiques dans les prochaines années, de même que celles de l’informatique quantique et les enjeux spatiaux. Des actions spécifiques sont prévues dans chacun de ces domaines, par l’intermédiaire de plans stratégiques et de financements dédiés.
C’est dans ce cadre que s’inscrivent les stratégies d’accélération mises en œuvre par le Gouvernement au sein du programme d’investissements d’avenir n° 4 et dans le cadre du plan de relance, comme l’a rappelé M. Thomas Courbe : « Sur cette capacité à maîtriser la technologie comme un deuxième axe de la souveraineté numérique, toutes ces actions irriguent très fortement le plan de relance, et notamment son volet de soutien à l’innovation. Ce sera en particulier le cas pour tout ce qui sera financé dans le cadre du PIA, intégré dans ce plan de relance. Un certain nombre des stratégies que j’ai évoquées sur certaines de ces technologies seront soutenues par le plan de relance, y compris dans un cadre européen pour la plupart d’entre elles. Nous souhaitons, dans le cadre européen, promouvoir des Important Projects of Common European Interest (IPCEI). Les IPCEI sont ces nouveaux cadres d’action européens dérogatoires des régimes habituels d’aides d’État, expérimentés sur les batteries par exemple. Dans le domaine des batteries, ils ont finalement montré que l’on pouvait réintroduire une industrie nouvelle pour l’Europe. Nous voulons appliquer ces régimes sur le cloud et sur la microélectronique dans les prochains mois avec la Commission européenne, notamment dans le cadre d’un dialogue approfondi avec l’Allemagne » ([250]) .
Le programme d’investissements d’avenir (PIA)
Le programme d’investissements d’anir a été créé en 2010, à la suite de la remise du rapport Juppé-Rocard de 2009, qui insistait sur la nécessité pour la France de se doter d’un instrument de financement des secteurs et technologies critiques pour son économie sur le temps long.
Ce programme est piloté par le secrétariat général pour l’investissement (SGPI), placé sous la tutelle du Premier ministre.
Son objectif est de soutenir l’innovation et de permettre à la France d’augmenter son potentiel de croissance et d’emplois.
Trois programmes d’investissements d’avenir ont été lancés en 2010 (PIA 1 – 35 milliards d’euros), 2014 (PIA 2 – 12 milliards d’euros), et 2017 (PIA 3 – 10 milliards d’euros) dans ce but.
Dans le cadre de la crise sanitaire, et pour prolonger cet effort d’investissement, un programme d’investissements d’avenir n° 4 a été intégré au sein du projet de loi de finances pour 2021. Ses crédits viendront compléter et parfois soutenir les actions du plan de relance.
Doté d’une enveloppe de 20 milliards d’euros, dont 11 milliards d’euros intégrés au plan France relance, le PIA 4 soutient notamment la mise en œuvre de stratégies d’accélération dans des domaines critiques et l’approfondissement du marché du capital-risque français.
Source : Secrétariat général pour l’investissement (SGPI)
Le développement de la technologie de la blockchain et de ses cas d’usage doit être une priorité pour la politique industrielle et technologique française
M. Rémy Ozcan, président de la fédération française des professionnels de la blockchain (FFPB) a rappelé le principe de cette technologie, qui consiste à attribuer « à chaque produit une empreinte numérique unique, inscrite dans le registre partagé par tous les membres validateurs du réseau, lequel sollicitera la totalité du registre à chaque inscription d’une nouvelle information » ([251]). Le rapport de la mission parlementaire d’information, consacré à cette thématique et publié en 2018, définit cette technologie comme « un registre, une grande base de données qui a la particularité d’être partagée simultanément avec tous ses utilisateurs, tous également détenteurs de ce registre, et qui ont également tous la capacité d’y inscrire des données, selon les règles spécifiques fixées par un protocole informatique très bien sécurisé grâce à la cryptographie » ([252]).
Pour M. Rémy Ozcan, les spécificités de la blockchain sont au nombre de cinq : la cryptographie, la signature électronique, le registre distribué, l’utilisation d’Internet et un système de « tokenisation ».
La blockchain présente des avantages évidents. Elle apparaît « comme le moyen le plus rapide, fiable et sécurisé de transférer des actifs ou des données partout dans le monde » et surtout « par rapport à d’autres technologies existantes, la blockchain présente l’avantage de garantir l’intégrité des données et des informations inscrites dans son registre, du fait de ses composants intrinsèques : la cryptographie, la signature électronique, la distribution du registre, la décentralisation des validations » ([253]).
Les cas d’usage possibles sont extrêmement variés (exemples : certifier des diplômes, des factures d’électronique, se financer par des émissions d’actifs numériques (Initial Coin Offering, ou ICO) etc.). Nombre d’usages apparaîtront, en outre, au fur et à mesure du développement de cette technologie.
La valorisation de ces cas d’usage nécessite néanmoins d’octroyer une force probante à la blockchain en droit, sans laquelle certains acteurs peuvent hésiter à recourir à cette technologie pour des raisons de sécurité juridique. Votre rapporteur souhaite donc porter à nouveau cette proposition, qui avait déjà fait l’objet de débats dans les travaux préparatoires de la loi relative à la croissance et la transformation des entreprises du 22 mai 2019 (loi PACTE).
Proposition n° 54 : Garantir en droit la force probante de la blockchain pour créer un cadre favorable au développement de cette technologie.
Dans cette optique, il serait également utile de créer un système de certification des blockchains. Il est en effet nécessaire de s’accorder sur des critères pour garantir l’incorruptibilité du système. Toutes les blockchains ne peuvent, en l’état actuel de la technologie, être considérées comme ayant une force probante ([254]), ainsi que l’a relevé Mme Liliane Dedryver, directrice de projets au sein de la direction générale des entreprises([255]). La situation est en effet variable d’une blockchain à l’autre et doit être appréciée au cas par cas. L’établissement d’une certification, à l’échelon national, puis européen, fondée sur des critères prédéfinis est donc indispensable. La création d’un système de certification figurait d’ailleurs parmi les quatorze propositions du rapport de mission produit conjointement par le CEA (Commissariat à l’énergie atomique et aux énergies alternatives), l’IMT (Institut Mines-Télécom) et l’Inria, très récemment, sur le sujet ([256]).
Proposition n° 55 : Lancer une réflexion sur la création d’un système de certification des blockchains conformément à la recommandation n° 7 du rapport IMT-CEA-INRIA « Les verrous technologiques des blockchains » publié en avril 2021.
Enfin, afin de sécuriser la filière, il serait nécessaire de pérenniser l’effort d’accompagnement et de financement entrepris, notamment par l’intermédiaire de la Task force blockchain.
2. L’Intelligence artificielle
L’Intelligence artificielle est une technologie numérique qui peut être définie comme la capacité, pour des systèmes, de faire preuve « d’un comportement intelligent en analysant leur environnement et en prenant des mesures, avec un certain degré d’autonomie, pour atteindre des objectifs spécifiques ». Son fonctionnement repose sur l’utilisation d’algorithmes entraînés à partir de jeux de données et capables de prendre, dans une certaine mesure, les décisions les plus efficaces en fonction de l’apprentissage réalisé.
Cette technologie, profondément transversale, modifiera en profondeur l’ensemble des activités humaines, au profit d’une automatisation plus forte, et d’une efficacité plus importante. Elle devrait en effet transformer toutes les activités économiques, en étant d’ailleurs « embarquée » de façon croissante directement au sein des objets, matériels et véhicules concernés. Comme l’a rappelé M. Renaud Vedel, préfet, et coordinateur de la stratégie nationale pour l’Intelligence artificielle, « l’Intelligence artificielle est utilisée dans les traitements de signaux de l’industrie, du langage naturel, de la vision de l’image par ordinateur, de données de grandes dimensions, ainsi que dans la robotique. Il apparaît que la matrice de l’IA est à même de réaliser de plus en plus de tâches. Le fait qu’une machine, un robot ou un logiciel devienne capable de voir ou d’entendre va nécessairement changer notre rapport à l’autonomie » ([257]).
Ses usages seront donc extrêmement variés. Cet enjeu a été résumé ainsi par M. Francesco Bonfiglio, directeur de l’initiative Gaia X : « Il s’agit en réalité du domaine des domaines […] dans les prochaines années, nous serons submergés de services reposant principalement sur l’Intelligence artificielle », avant d’insister sur le fait qu’au « même titre que la plomberie transporte l’eau, l’Intelligence artificielle a besoin de données, et surtout de données de qualité » ([258]). Ce constat est partagé par M. Michel Gesquiere, responsable des ventes d’IBM : « Le champ d’application de l’Intelligence artificielle s’accroîtra considérablement également dans les années à venir. Elle a déjà été déployée dans le domaine de l’expérience « client ». Elle servira aussi d’assistant pour accroître la performance des employés : c’est en ce sens qu’elle est envisagée dans notre partenariat avec le Crédit Mutuel. L’automatisation des processus industriels passera également par l’Intelligence artificielle. Avec l’IOT et la 5G, le nombre des données s’accroîtra et l’Intelligence artificielle permettra de les transformer en éléments de compétitivité et d’automatisation des performances » ([259]). Pour prendre l’exemple d’un secteur d’activité traditionnel, l’agriculture, l’IA embarquée permettra ainsi, comme l’a souligné M. Thierry Tingaud, président du comité stratégique de filière « Industries électroniques » de développer une agriculture sélective : « Une caméra serait installée sur un tracteur, avec de l’Intelligence artificielle embarquée, afin de savoir s’il est nécessaire de traiter ou non un pied de vigne. Soit l’agriculteur descend de son tracteur et regarde si le pied de vigne nécessite un traitement, soit cette analyse est réalisée automatiquement, via une caméra, par des logiciels d’Intelligence artificielle déterminant s’il faut déverser ou non de l’engrais ou des produits phytosanitaires. Cela constitue un bon exemple de ce qu’est l’Intelligence artificielle embarquée. Dans ce domaine, le champ d’application est infini. Cette Intelligence artificielle doit bien sûr être raisonnable et suivre les directions données par les rapports de la Commission européenne dans ce domaine » ([260]).
Les industriels auditionnés, notamment ceux qui appartiennent à la filière des industries électroniques, entendent se positionner fortement sur l’IA embarquée et proposer à leurs clients des capacités d’Intelligence artificielle décentralisée conformes à leurs besoins. L’un des axes du contrat de filière « Industries électroniques » porte ainsi sur l’IA décentralisée, également appelée « Edge computing ». Les membres de cette filière souhaitent en effet progresser dans cette direction, comme l’a indiqué M. Thierry Tingaud, « notamment avec les programmes d’accélération sur l’Intelligence artificielle actuellement élaborés avec la direction générale des entreprises (DGE), dans le but de pousser l’écosystème français et les coopérations nécessaires, à la fois au niveau du hardware (les algorithmes logiciels avec le CEA-List, l’Institut national de recherche en in