N° 4299

______

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

QUINZIÈME LÉGISLATURE

 

Enregistré à la Présidence de l’Assemblée nationale le 29 juin 2021.

RAPPORT D’INFORMATION

 

 

DÉPOSÉ

 

en application de l’article 145 du Règlement

 

PAR LA MISSION D’INFORMATION ([1])

 

sur le thème « Bâtir et promouvoir une souveraineté numérique

nationale et européenne ».

 

 

ET PRÉSENTÉ PAR

 

M. Jean-Luc WARSMANN, Président,

 

et

 

M. Philippe LATOMBE, Rapporteur,

 

Députés.

 

——

 

TOME III

 

COMPTES RENDUS DES AUDITIONS

(du 11 mars au 9 juin 2021)

 


 

La mission d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne » est composée de : M. Jean-Luc Warsmann, président ; Mmes Virginie Duby-Muller, Danièle Hérin, MM. Denis Masséglia, Jean-Michel Mis, viceprésidents ; M. Philippe Latombe, rapporteur, Mme Valéria Faure-Muntian, M. Philippe Gosselin, Mmes Marietta Karamanli, Amélia Lakrafi, secrétaires ; Mme Laetitia Avia, MM. Xavier Batut, Éric Bothorel, Moetai Brotherson, Mmes Frédérique Dumas, Paula Forteza, MM. Thomas Gassilloud Bastien Lachaud, Christophe Lejeune, Mme Marion Lenne, MM. Philippe Michel-Kleisbauer, Jérôme Nury, Pierre Person, Pierre-Alain Raphan, Mme Nathalie Serre, membres.

 


—  1  —

 

SOMMAIRE

___

Pages

Audition, ouverte à la presse, de Mme Naomi Peres, secrétaire générale adjointe du secrétariat général pour l’investissement (SGPI), et de M. Clément Jakymiw, directeur adjoint du programme industries et services du secrétariat général pour l’investissement  (11 mars 2021)

Audition, ouverte à la presse, de M. le professeur Thibault Douville, professeur des universités, directeur du master Droit du numérique à l’Université Caen Normandie  (11 mars 2021)

Audition, ouverte à la presse, de M. Julien Nocetti, docteur en sciences politiques, chercheur associé à l’institut français des relations internationales (Ifri) et enseignantchercheur en relations internationales et études stratégiques aux Écoles de Saint-Cyr Coëtquidan  (11 mars 2021)

Audition, ouverte à la presse, de MM. Julien Groues, directeur général, et Stéphan Hadinger, directeur technique, d’Amazon Web services (AwS) (18 mars 2021)

Audition, ouverte à la presse, de MM. Olivier Esper, chargé des relations institutionnelles, et Fenitra Ravelomanantsoa, responsable des affaires publiques, de Google France  (18 mars 2021)

Audition ouverte à la presse, de M. Bruno Sportisse, président-directeur général de l’institut national de recherche en sciences et technologie du numérique (Inria)  (18 mars 2021)

Audition, ouverte à la presse, de MM. Jean-Claude Laroche, vice-président, et Henri d’Agrain, délégué général, du Club informatique des grandes entreprises françaises (Cigref)  (18 mars 2021)

Audition, ouverte à la presse, de M. Gwendal Le Grand, secrétaire général adjoint de la Commission nationale de l’informatique et des libertés (CNIL)  (25 mars 2021)

Audition de M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)  (25 mars 2021)

Audition, ouverte à la presse, de M. Fabrice Brégier, président de Palantir France, de MM. Olivier Tesquet, journaliste spécialisé dans les questions numériques à Télérama, et d’Olivier Laurelli, cofondateur de Reflets.info (25 mars 2021)

Audition, ouverte à la presse, de M. Éric Baissus, président-directeur général de Kalray  (30 mars 2021)

Audition, ouverte à la presse, de M. David Ofer, président de la Fédération française de la Cybersécurité  (30 mars 2021)

Audition, ouverte à la presse, de MM. Pierre Lelièvre et Olivier Charlannes, vice-présidents de la société IDEMIA, et de M. Cosimo Prete, président fondateur de la société Crime Science Technology  (1er avril 2021)

Audition, ouverte à la presse, de Mme Valérie Péneau, inspectrice générale de l’administration, directrice du programme interministériel France Identité numérique (FIN), et de Mme Anne-Gaëlle Baudouin-Clerc, préfète, directrice de l’agence nationale des titres sécurisés (ANTS)  (1er avril 2021)

Audition commune, ouverte à la presse, de MM. Rodolphe Belmer, directeur général d’Eutelsat, et Hervé Derrey, président-directeur général de Thales Alenia Space)  (6 avril 2021)

Audition commune, ouverte à la presse, de représentants - du groupe Atos : Mme Coralie Héritier, responsable des identités numériques, dirigeante d’IDnomic, et d’IN Groupe : MM. Romain Galesne-Fontaine, directeur des relations institutionnelles, et Yann Haguet, vice-président exécutif identité numérique, copilote du groupe de travail identité numérique au sein du comité stratégique de filière des industries de sécurité  (6 avril 2021)

Audition, ouverte à la presse, de M. Jérôme Notin, directeur général du groupement d’intérêt public Action contre la Cybermalveillance (GIP ACYMA)  (8 avril 2021)

Audition, ouverte à la presse, de M. Guillaume Vassault-Houlière, président-directeur général et cofondateur, et Mme Rayna Stamboliyska, vice-présidente en charge des affaires publiques et institutionnelles, de Yes We Hack  (8 avril 2021)

Audition, ouverte à la presse, de M. Michel Van Den Berghe, président de la mission Campus Cyber  (13 avril 2021)

Audition, ouverte à la presse, de M. Arnaud Dechoux, responsable des affaires publiques « Europe », de la société Kaspersky  (13 avril 2021)

Audition, ouverte à la presse, de M. Laurent Degré, président-directeur général de la société Cisco Systems France et de M. Bruno Bernard, directeur des affaires publiques de la société Cisco Systems France  (13 avril 2021)

Audition commune, ouverte à la presse, de Mme Bénédicte Roullier, cheffe du pôle « Transformation numérique des TPE/PME », et de M. Aurélien Palix, sous-directeur des réseaux et des usages numériques à la direction générale des entreprises (ministère de l’économie, des finances et de la relance)  (15 avril 2021)

Audition, ouverte à la presse, de M. Paul-François Fournier, directeur exécutif en charge de l’innovation de Bpifrance  (15 avril 2021)

Audition, ouverte à la presse, de Mme Martine Garnier, responsable du département « Numérique et mathématiques appliquées », et de M. Frédéric Precioso, responsable scientifique « Intelligence artificielle », de l’Agence nationale de la recherche (ANR)  (15 avril 2021)

Audition, ouverte à la presse, de Mme Raphaëlle Bertholon, secrétaire nationale à l’économie, l’industrie, le logement et le numérique, et de M. Nicolas Blanc, délégué national au numérique, de la confédération française de l’encadrement–confédération générale des cadres (CFE-CGC)  (20 avril 2021)

Audition, ouverte à la presse, de M. Rémy Ozcan, président de la fédération française des professionnels de la blockchain (FFPB)  (22 avril 2021)

Audition, ouverte à la presse, de M. Sébastien Dupont, président co-fondateur d’UNIRIS et de M. le général d’armée Grégoire de Saint-Quentin, président du cabinet de conseil Petra advisors et ancien conseiller du gouvernement pour la défense  (22 avril 2021)

Audition commune, ouverte à la presse, de MM. Francesco Bonfiglio, directeur général, et Pierre Gronlier, directeur des technologies, de l’association internationale sans but lucratif GAIA-X et de Mme Marine de Sury, coordinatrice du French GAIA-X Hub  (22 avril 2021)

Audition, ouverte à la presse, de M. Simon Polrot, président, et Mme Faustine Fleuret, directrice stratégique et relations institutionnelles, de l’association pour le développement des actifs numériques (ADAN)  (27 avril 2021)

Audition, ouverte à la presse, de Me Nathalie Chiche, avocate au Barreau de Paris, déléguée à la protection des données, rapporteure de l’étude du Conseil économique, social et environnemental : « Internet : pour une gouvernance ouverte et équitable »  (27 avril 2021)

Audition, ouverte à la presse, de Mme Liliane Dedryver, directrice de projets « Technologies et solutions numériques émergentes » du service de l’économie numérique à la direction générale des entreprises (DGE), et de Mme Pauline Faucon, adjointe au responsable du pôle « Affaires internationales, coordination européenne et enjeux technologiques du secteur financier », MM. Thimothée Huré, bureau « Épargne et marché financier » (FinEnt1), et Clément Robert, bureau « Services bancaires et moyens de paiement » (BancFin4), de la direction générale du Trésor (DGT) (ministère de l’économie, des finances et de la relance)  (29 avril 2021)

Audition, ouverte à la presse, de MM. Édouard Geffray, conseiller d’État, directeur général de l’enseignement scolaire, et Jean-Marc Merriaux, inspecteur général de l’Éducation nationale, directeur du numérique pour l’éducation (ministère de l’Éducation nationale)  (4 mai 2021)

Audition commune, ouverte à la presse, de MM. Renaud Vedel, préfet, coordonnateur de la stratégie nationale pour l’Intelligence artificielle et Julien Chiaroni, directeur du « Grand défi » intitulé « Sécuriser, certifier et fiabiliser les systèmes fondés sur l’Intelligence artificielle »  (6 mai 2021)

Audition commune, ouverte à la presse, de Mme Françoise Mercadal-Delasalles, co-présidente du conseil national du numérique et directrice générale du Crédit du Nord, et de M. Gilles Babinet, co-président du conseil national du numérique et digital champion auprès de la Commission européenne  (6 mai 2021)

Audition de M. le général de corps aérien Jean-François Ferlet, directeur du renseignement militaire (DRM) (ministère des armées)  (20 mai 2021)

Audition de M. le général de division aérienne Didier Tisseyre, officier général commandant de la cyberdéfense (état-major des armées) (ministère des armées) et de l’ASC Sébastien bombal, chef du pôle stratégie  (21 mai 2021)

Audition, ouverte à la presse, de M. Mehdi Gharsallah, conseiller stratégique pour le numérique auprès de la directrice de l’enseignement supérieur et de l’insertion professionnelle (ministère de l’enseignement supérieur, de la recherche et de l’innovation)  (25 mai 2021)

Audition, ouverte à la presse, de M. Jean-Luc Sauron, professeur associé à l’université de Paris-Dauphine  (25 mai 2021)

Audition, ouverte à la presse, de MM. Olivier Vallet, président-directeur général de Docaposte, membre du comité de direction de la branche numérique, et Gabriel de Brosses, directeur de la cybersécurité, du groupe La Poste  (25 mai 2021)

Audition, ouverte à la presse, de Mme Corinne Caillaud, directrice des affaires extérieures, publiques et juridiques, membre du comité exécutif, et M. Jean-Renaud Roy, directeur des affaires institutionnelles, de Microsoft France  (27 mai 2021)

Audition, ouverte à la presse, de M. Arnaud Castaignet, directeur de la communication et des affaires publiques de Skeleton Technologies, ancien directeur des relations publiques du programme e-Residency du gouvernement estonien  (1er juin 2021)

Audition, ouverte à la presse, de M. Stéfane Fermigier, co-président du conseil national du logiciel libre (CNLL)  (1er juin 2021)

Audition, ouverte à la presse, de M. Marc Hansen, ministre délégué à la digitalisation du gouvernement du Grand-Duché du Luxembourg  (3 juin 2021)

Audition de M. Nicolas Lerner, administrateur civil hors classe, directeur des services actifs de la police nationale, directeur général de la sécurité intérieure (DGSI) (ministère de l’intérieur)  (4 juin 2021)

Audition ouverte à la presse de M. Margiris Abukevicius, vice-ministre de la défense nationale de la République de Lituanie.  (8 juin 9021)

Audition, ouverte à la presse, de M. Andres Sutt, ministre du commerce et des technologies de l’information de la République d’Estonie  (9 juin 2021)


—  1  —

 

Audition, ouverte à la presse, de Mme Naomi Peres, secrétaire générale adjointe du secrétariat général pour l’investissement (SGPI), et de M. Clément Jakymiw, directeur adjoint du programme industries et services du secrétariat général pour l’investissement
(11 mars 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Nous recevons Mme Naomi Peres, secrétaire générale adjointe, et M. Clément Jakymiw, directeur adjoint du programme industries et services, du secrétariat général pour l’investissement (SGPI).

Le secrétariat général pour l’investissement est chargé, sous l’autorité du Premier ministre, de mettre en œuvre le programme d’investissements d’avenir (PIA). Ce programme soutient les projets d’excellence dans les filières structurantes pour la France et fait l’objet d’un suivi attentif par le Parlement. Trois programmes d’investissements d’avenir ont été initiés depuis 2010. Un quatrième PIA, d’un montant total de 20 milliards d’euros sur cinq ans, a été créé par la loi de finances pour 2021.

Nous partageons, Mme la secrétaire générale adjointe et M. le directeur adjoint, bon nombre de problématiques : le soutien aux projets technologiques critiques est en effet nécessaire pour construire une forme de souveraineté numérique nationale et européenne – c’est l’objet du plan de relance et du PIA 4 dont votre service est chargé. Nous souhaitons donc vous interroger sur votre vision dans ce domaine et sur la façon dont vos activités s’articulent avec celles du Haut-commissaire au Plan.

M. Philippe Latombe, rapporteur. Je souhaite vous interroger sur trois points en particulier.

Nous aimerions d’abord vous entendre sur ce que la souveraineté numérique recouvre, selon vous. Ce sujet fait l’objet d’une attention croissante, de la part des pouvoirs publics, notamment depuis la crise sanitaire. Au cours de nos auditions, nous avons eu l’occasion de recueillir plusieurs définitions de cette notion très large, que certains rapprochent parfois d’une forme d’autonomie stratégique ou décisionnelle. J’aimerais donc savoir comment vous appréhendez cette notion et de quelle façon les investissements d’avenir contribuent à promouvoir une forme de souveraineté numérique nationale ou européenne.

Je souhaiterais ensuite vous interroger sur les forces et faiblesses françaises dans les technologies stratégiques pour notre avenir, puisque vous disposez d’une vision très large de ces enjeux. Diverses initiatives ont d’ores et déjà été mises en œuvre au niveau européen, comme le plan intelligence artificielle présenté en 2018, le plan quantique annoncé plus récemment ainsi que le plan nano 2022. Nous souhaiterions connaître l’état des lieux des initiatives suivies par le SGPI et prendre connaissance des segments dans lesquels il nous faudrait, selon vous, renforcer notre action.

Enfin, j’aimerais que nous échangions sur le financement de l’innovation en France et sur la question des brevets. Nous avons auditionné France Brevets, structure créée en 2011 dans le cadre du PIA 1. Ses représentants nous ont indiqué que les entreprises françaises ont intérêt à se protéger des stratégies d’agression en achetant un certain nombre de brevets impactant leurs concurrents. La protection de nos pépites et les opportunités d’acquisitions d’acteurs clés semblent être un enjeu économique important. Je souhaiterais recueillir votre avis sur ce sujet, qui renvoie à une approche assez offensive de la souveraineté numérique.

Mme Naomi Peres, secrétaire générale adjointe du secrétariat général pour l’investissement (SGPI). Nous nous sommes intéressés à la notion de souveraineté avant la crise, lorsque nous avons commencé à préparer le quatrième PIA, en 2019. Nous avions alors convenu que la doctrine ou le principe d’investissement du PIA ne pouvait plus être la seule croissance – évidemment, le PIA vise à investir pour l’avenir, à créer des emplois et à développer la croissance, mais plus seulement. Nous avons donc réfléchi à compléter les principes d’investissement du PIA avec, d’une part, la transition écologique et, d’autre part, un concept rassemblant les aspects de résilience, de souveraineté et d’autonomie. Je vous rejoins sur le fait que la définition de la souveraineté n’est pas si simple. Nous retenons la définition suivante : la capacité d’apprécier une situation et de décider et d’agir sans contrainte et sans influence extérieure. Cette définition s’applique à l'État souverain. Nous lui avons préféré, dans le PIA 4, la notion de résilience, qui est à nos yeux plus large et emporte aussi une notion de souveraineté et d’autonomie. La résilience est la capacité d’un pays ou d’une organisation à résister aux conséquences d’une crise ou d’une agression et à retrouver le plus rapidement possible un fonctionnement normal, même si celui-ci est différent du fonctionnement précédent. La notion de résilience emporte donc mécaniquement la notion de souveraineté, en particulier en matière numérique. Les principes d’investissements du PIA sont donc constitués des trois concepts suivants : croissance potentielle, transition écologique et résilience des organisations socio-économiques au sens large.

En souhaitant appliquer cette notion à la matière numérique, nous avons réfléchi à trois grands aspects : le matériel, le logiciel et les usages. Ces trois éléments sont assez liés. Nous nous sommes posés la question suivante : dans quoi serait-il légitime d’investir, pas seulement dans une logique de retour sur investissement purement financier, mais extra-financier, c’est-à-dire dans une logique permettant d’augmenter notre autonomie, notre capacité à décider, notre capacité à rester maîtres de nos données, de nos logiciels et de nos matériels ?

Nous souhaitons appliquer cette notion à tous les domaines à chaque fois que nous bâtissons une stratégie, et pas seulement au numérique : la nouvelle logique du PIA 4 est construite autour de grandes stratégies d’investissement. Pour le PIA 4, nous avons souhaité prendre le temps de réunir l’ensemble des ministères compétents et de consulter assez largement, avant de lancer des appels à projets. Ainsi, nous associons largement les chercheurs, les parties prenantes, les collectivités territoriales, les entreprises. Avant de lancer un programme de recherche ou un programme d’investissement industriel, nous nous interrogeons de la manière suivante : dans ce domaine, quels sont les forces et faiblesses du pays, où se situent les besoins et un programme comme le PIA peut-il intervenir intelligemment ? Pour cela, nous essayons également d’articuler les outils normatifs, fiscaux et réglementaires, car nous avons plus de chances de réussir une transformation si nous nous sommes mis d’accord ensemble, auparavant, sur la feuille de route pour y arriver.

Nous avons travaillé de cette manière dans le secteur numérique. Les premières stratégies présentées par le Président de la République sont la stratégie quantique et la stratégie cyber. Plusieurs autres stratégies sont actuellement en cours d’élaboration, avec des consultations en ligne et des appels à manifestations d’intérêt. Nous tâchons d’appliquer cette notion de résilience et de souveraineté à tous les domaines. Nous l’avons, par exemple, appliquée à la stratégie hydrogène. Nous nous sommes interrogés de la manière suivante : quelle est la capacité de production d’hydrogène en France et à quel moment devons-nous déclencher le mécanisme d’aide à l’achat ? Il s’agit de trouver l’équilibre entre la volonté de développer rapidement l’hydrogène vert et bleu et le souci d’éviter d’acheter des catalyseurs chinois. Il y a donc un équilibre à trouver entre la volonté d’atteindre rapidement des objectifs et la volonté de garantir, grâce à ces investissements, notre autonomie et notre souveraineté.

En matière de numérique, cette logique est à l’œuvre dans les investissements conduits en faveur des matériels pour la 5G ou la 6G : nous veillons à ne pas être trop dépendants de matériels ou de composants dont nous ne maîtrisons pas la chaîne de production. Il en va de même pour le logiciel. Nous avons largement investi dans l’intelligence artificielle de confiance, avec le souci suivant : comment certifier les logiciels d’intelligence artificielle qui prendront peut-être, demain, une place prépondérante dans nos vies ?

Nous travaillons depuis trois ans à réaligner les investissements du PIA avec les activités de chaque ministère. Nous sommes un service du Premier ministre, afin de faire travailler ensemble toutes les parties prenantes avant de débloquer les fonds. Nous évitons d’adopter des prises de position et des points de vue qui ne seraient pas construits et partagés en interministériel. Le rôle du SGPI est très structurant dans le travail gouvernemental : il consiste à réunir tous les acteurs et à ouvrir la discussion avec des experts externes. Nous forgeons notre avis et nos convictions sur la base des avis d’experts, qu’ils soient issus des ministères, du Parlement ou de l’Organisation de coopération et de développement économiques (OCDE). Le SGPI ne regroupe que trente personnes, nous avons donc besoin de recourir à des sources d’expertise extérieures. Ce que je vous livre est donc le fruit d’une réflexion collégiale et ouverte au-delà du seul SGPI.

Nous avons travaillé sur la notion de souveraineté avec le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et le Service de l'information stratégique et de la sécurité économiques (Sisse). Lors de la préparation du PIA 4, nous avons abouti à la conclusion suivante : la croissance économique est très bien caractérisée ; la transition écologique commence à l’être également, en particulier quant aux sujets de décarbonation et de référentiels d’appréciation de la biodiversité ; en revanche, il existe moins de littérature sur la résilience et sur la souveraineté. Nous avons donc collaboré avec les services qui travaillent de longue date sur ces sujets, pour savoir comment transposer une logique de souveraineté ou d’autonomie à d’autres champs, par exemple à l’éducation ou à la vieillesse. La notion d’autonomie et de résilience peut exister dans de nombreux autres domaines et nous devons réfléchir à la façon de la caractériser.

Nous nous efforçons d’apprécier les forces et faiblesses des différents secteurs en matière de souveraineté numérique. Nous considérons, par exemple, que la France dispose de toutes les compétences de haut niveau en matière quantique. Nous disposons de chercheurs compétents et nous réussissons à créer de formidables start-up dans ce domaine ; mais souvent, au moment où elles se mettent à grossir et qu’elles sont en capacité de conquérir des marchés, elles se heurtent à la fragmentation des marchés européens. Je pense que nous avons dépassé le sujet du financement en matière numérique : nous arrivons, à l’échelle européenne, à mobiliser les financements nécessaires pour permettre à ces entreprises de croître. Il se pose, en revanche, un sujet d’accès au marché en Europe. Il est plus facile, pour les entreprises, d’aller conquérir le marché américain que de s’adapter aux différents marchés européens. Nous essayons de mener ce diagnostic de forces et faiblesses, de manière très précise, pour chacune de nos stratégies. Les forces et faiblesses sont assez variables en fonction des secteurs considérés : en matière de cybersécurité, l’enjeu est de ne pas perdre l’avance gagnée ; en matière quantique, l’enjeu est d’abord d’investir dans l’amont, c’est-à-dire dans la recherche et le transfert technologique.

M. Clément Jakymiw, directeur adjoint du programme industries et services du secrétariat général pour l’investissement (SGPI). J’ajouterai un complément à propos du lien entre la notion de souveraineté et celles d’autonomie et de résilience. Ces notions sont différentes. On peut être souverain, sans nécessairement faire preuve d’autonomie ou d’une très forte résilience. Les enseignements de la crise sont extrêmement intéressants à cet égard : ils ont montré que les notions d’autonomie et de résilience sont bien plus prégnantes que l’on pouvait l’imaginer auparavant. Cela est particulièrement visible dans le domaine de la santé, en raison des débats soulevés à propos des masques, des respirateurs ou des vaccins. Il faut bien entendu généraliser cette réflexion au secteur du numérique. Cette notion de souveraineté, avec un double prisme d’autonomie et de résilience, est au cœur des attentions médiatiques et des industriels.

M. Philippe Latombe, rapporteur. Petite équipe d’une trentaine de personnes, placée sous l’autorité du Premier ministre, ce format vous apporte-t-il de l’agilité, et cette agilité est-elle une force dans l’exercice de votre mission ? Le fait d’être placé sous l’autorité directe du Premier ministre vous donne-t-il une capacité à mobiliser, beaucoup plus importante ?

D’autre part, ne nous manque-t-il pas aujourd'hui une administration spécialisée dans l’innovation et le numérique ? Le secrétaire d’État au numérique est à Bercy ; la ministre déléguée à l’innovation l’est également. Les activités ne devraient-elle pas être plus transversales ?

Mme Naomi Peres. Il n’est pas facile de trouver le juste milieu entre une « agencisation » sur le format de l’Agence d'innovation de défense (AID) et notre format actuel. L’ « agencisation » aurait beaucoup d’avantages, car les moyens de mise en œuvre des crédits seraient concentrés. Cela nous rendrait également plus visibles. Notre service est peu connu des bénéficiaires finaux. Nos grands opérateurs sont Bpifrance, la Caisse des dépôts et consignations, l’Agence de l'environnement et de la maîtrise de l'énergie (ADEME) et l’Agence nationale de la recherche (ANR) – nos bénéficiaires les connaissent beaucoup mieux que nous. Ce modèle a été décidé il y a dix ans : il explique que ce sont souvent ces grands opérateurs qui sont identifiés comme les acteurs de l’innovation dans leur domaine. Nous avons capitalisé sur l’image et sur la force de ces grands opérateurs.

Le fait d’être placés à Matignon nous offre effectivement une grande agilité. Ce rattachement est, à mes yeux, extrêmement important. Nous sommes un petit service, rassemblant des directeurs « métiers », experts dans leurs domaines et fonctionnant quasiment sous la forme d’un cabinet. Nous bénéficions d’une grande liberté d’accès aux administrations et aux ministères. En ce qui concerne la construction des stratégies et des politiques d’innovation, notre force est de pouvoir réunir des acteurs multiples pour les faire travailler ensemble à la construction d’un projet commun. Il est parfois difficile de garantir l’équilibre des arbitrages. Notre responsabilité est de proposer au Premier ministre des arbitrages et des décisions de financement. Il n’y a pas de lieu plus neutre que Matignon pour faire valoir les différents points de vue. In fine, Matignon arbitre et c’est son rôle. Le rattachement au Premier ministre est, à mes yeux, fondamental.

Ce sujet est un petit peu différent de la forme. L’équilibre du modèle entre, d’une part, « l’agencisation », sur le modèle de l’agence de l’innovation, et, d’autre part, un petit secrétariat, sur le format du secrétariat général à l’investissement qui s’appuie sur les opérateurs, pose une vraie question. Les deux options ont leurs avantages et leurs inconvénients. Cette question a été en partie développée dans le rapport de notre comité de surveillance. Le rapport a développé les différents modèles d’organisation possibles. Chacun des modèles suppose des moyens différents en administration centrale. Chaque modèle a également des impacts en matière d’appropriation des stratégies d’investissement par les ministres. Cela n’aurait pas beaucoup de sens de financer une stratégie cloud qui ne serait pas articulée avec ce qui est en train d’être négocié, par le secrétariat d’État au numérique, au niveau européen, sur la sécurisation du cloud, ou avec la stratégie de l'État en matière de cloud. Aujourd'hui, notre service est discret et ne concurrence pas les ministres, en termes de visibilité et de portage.

Cela est important, si l’on réfléchit au fait que ces actions doivent essaimer dans le temps. Le PIA est un programme d’innovation qui intervient dans beaucoup de secteurs et dont le rôle est de faire la preuve de concept. Ce programme ne sera jamais capable de gérer un déploiement. Si l’on centralise trop et que les ministères ne s’approprient pas le travail sur l’innovation, on risque alors, quand l’innovation aura fait ses preuves, que les ministères ne s’en emparent pas et ne lèvent pas les derniers verrous réglementaires à son déploiement. Il n’est pas si simple de trouver le bon modèle en matière d’innovation.

S’agissant du rattachement du secrétariat d’État au numérique à Matignon ou à Bercy, nous travaillons avec tous les ministres et les secrétaires d’État, quel que soit leur rattachement. Si le positionnement à Matignon aide dans la discussion interministérielle, en revanche, les moyens d’administration sont à Bercy. Il n’y a donc pas de réponse évidente, s’agissant du positionnement du secrétariat d’État au numérique. Nous nous attachons à faire vivre cette notion d’innovation en interministériel : un seul comité interministériel suit l’ensemble des stratégies d’investissements. Il est important de garder une dynamique collective : tous les ministères sont présents autour de la table, même quand nous discutons de sujets pointus, comme la 5G ou le cloud. Petit à petit, la transversalité se construit. Depuis dix ans, le PIA a toujours été capable de travailler en interministériel.

Le PIA 1 a financé France Brevets, dont le modèle économique et le format sont actuellement en cours d’examen. Le gouvernement ne s’est pas encore prononcé à ce sujet. Nous avons veillé à traiter du mieux possible la composante propriété intellectuelle au sein de chacune de ces stratégies d’accélération. Tout un chapitre lui est consacré dans les stratégies cyber et quantique. Nous nous demandons comment mobiliser les bonnes expertises. L’achat de brevets, qui est une stratégie agressive, n’est pas la seule solution. Nous réfléchissons également à accompagner nos start-up pour les amener à protéger leurs technologies, au bon moment, avant d’en acheter d’autres. Un défaut d’accompagnement persiste aujourd'hui à ce sujet et nous travaillons avec Bpifrance pour construire cette offre de services. Ce sujet est identifié, à la fois sur la base du retour d’expérience et des expertises de France Brevets, et du rôle d’accompagnement de Bpifrance auprès des start-up. Nous essayons de construire une offre de services, dont une partie sera quasiment assurée par du service public, et une autre partie recouvrira l’activité concurrentielle de France Brevets. L’intervention de l'État ne peut donc pas être la même dans les deux cas. Le PIA 4 accordera les moyens nécessaires afin que la protection de la propriété intellectuelle, et éventuellement, par la suite, les stratégies d’acquisition, puissent être mises en œuvre, si elles sont pertinentes dans le domaine considéré.

M. Philippe Latombe, rapporteur. Vous avez exprimé, dans votre propos liminaire, l’idée selon laquelle il est nécessaire d’arbitrer entre la volonté de développer rapidement la filière de l’hydrogène et la volonté de ne pas acheter des catalyseurs chinois : il faut donc trouver un moyen de promouvoir la filière en achetant des produits français ou européens. Dans le numérique, les entreprises françaises font part de leurs difficultés à accéder aux marchés publics. Dans le même temps, les acteurs publics mettent en avant la simplicité du recours à des solutions intégrées américaines, qui fournissent des prestations de cloud et les outils logiciels les accompagnant. Cela traduit une sorte de dissonance cognitive : d’un côté, les pouvoirs publics veulent promouvoir les solutions françaises et européennes et y investissent beaucoup d’argent ; de l’autre, les marchés publics sont construits de telle façon que seuls les grands acteurs peuvent y répondre. Comment voyez-vous les choses ?

Mme Naomi Peres. Il faut distinguer les sujets sur lesquels l’offre est déjà présente (ce qui n’est pas le champ d’intervention du PIA) et les sujets sur lesquels elle ne l’est pas. L’offre des géants du Web – Google, Apple, Facebook, Amazon et Microsoft (GAFAM) – ne recouvre pas le champ d’intervention du PIA. Le PIA s’intéresse à des solutions futures. En matière de cyber, par exemple, la bataille n’est pas perdue : il est encore temps de construire une offre française, qui constituerait une troisième ou quatrième voie. Nos services publics, demain, pourraient recourir à des solutions de cybersécurité issues d’une offre industrielle française. Cette offre n’existe pas encore. Les entreprises reconnaissent que le marché constitué par les collectivités territoriales, les hôpitaux, les ports, les gares est considérable, mais il n’est pas du tout organisé pour leur parler.

Le PIA 4 va permettre de mettre en place des démonstrateurs territoriaux. Nous avons voulu contrecarrer la critique récurrente adressée au PIA, selon laquelle le programme produit de l’innovation sur étagère, sans aller au bout de la preuve de concept et sans tester cette innovation dans des conditions réelles. Nous avons donc créé un nouvel instrument, intitulé « soutien au déploiement », qui a vocation à financer des formations et à tester, dans des conditions réelles, les technologies en pré-déploiement.

En ce qui concerne la cybersécurité, les démonstrateurs territoriaux vont identifier des territoires pilotes, en avance sur le sujet, qui vont nous aider à qualifier l’offre industrielle française. Ensuite, nous financerons le surcoût de développement ou d’adaptation de cette offre pour qu’elle puisse se retrouver sur le marché. L’enjeu est de créer des solutions industrielles correspondant aux besoins des acteurs publics, collectivités locales, hôpitaux ou ports. Si nous ne faisons pas, aujourd'hui, les efforts nécessaires pour faire dialoguer les parties prenantes sur le sujet, un acteur extérieur viendra, demain, développer cette offre. Il serait très frustrant que cette offre ne soit pas française, car nous avons tout ce qu’il faut pour la développer.

 La question s’est également posée, de manière très concrète, en matière éducative. En préfiguration de la stratégie sur l’éducation et le numérique qui sera annoncée par le Premier ministre à la fin du mois de mars, nous avons développé un certain nombre d’actions en 2020, pour un budget total de 300 millions d’euros de PIA. Nous optons pour une approche intégrée par territoire, et non plus par grand plan. Nous avons identifié quelques territoires pilotes et nous y avons investi dans la formation des professeurs et des parents ainsi que dans les équipements. Les start-up et les entreprises des technologies de l'éducation (EdTech) ne veulent plus de financements, elles veulent que nous les aidions à faire sauter le verrou d’accès au marché de l’Éducation nationale. Sur ces démonstrateurs financés par le PIA, nous avons pu faire « sauter les verrous ». Avec les vingt démonstrateurs territoriaux du PIA 4, nous espérons montrer que donner aux acteurs de terrain la liberté de choisir eux-mêmes des solutions – dont on sait, grâce à l’ANSSI, qu’elles sont solides – fonctionne. Nous souhaitons casser la logique de passer par d’énormes marchés publics qui ne peuvent être obtenus que par d’énormes entreprises, alors que de petits marchés peuvent être satisfaits par de petites entreprises.

Dans le PIA 4, nous avons souhaité que les procédures compétitives et ouvertes puissent prendre d’autres formes, y compris celle des partenariats d’innovation. Les marchés publics permettent beaucoup de choses. Nous sommes frileux à l’idée d’utiliser les outils à disposition : les partenariats d’innovation sont un outil formidable, qui est très peu mis en œuvre. Il est toujours plus facile et moins risqué de mettre en œuvre des marchés publics classiques. Les partenariats d’innovation permettent de travailler avec de plus petits partenaires sous la forme du dialogue compétitif. Ils permettent également de travailler en direct, en faisant appel à plusieurs entreprises pour des sommes inférieures à 40 000 euros. Nous y avons régulièrement recours pour les besoins très spécifiques du SGPI. Il est facile de blâmer les marchés publics : le droit des marchés publics autorise beaucoup d’outils, que nous n’utilisons pas encore assez.

M. Philippe Latombe, rapporteur. En matière éducative, vous vous êtes rendus compte que les envies et les besoins du fournisseur et du client convergeaient, et que les marchés publics centralisés posaient problème. Est-ce le cas dans d’autres domaines que l’éducation ? Comment, à terme, mettre en œuvre cette liberté et cette territorialisation à plus grande échelle ? Comptez-vous sur des outils législatifs et réglementaires ?

Mme Naomi Peres. En la matière, il est important d’« embarquer » tout de suite les ministères. Il est difficile de centraliser ces dynamiques dans une agence de l’innovation. Il a fallu du temps pour mettre au point cette stratégie et travailler avec tous les services du ministère de l’Éducation nationale et du ministère de l’Enseignement supérieur. Cela nécessite une forte volonté des ministres concernés.

Aujourd'hui, nous ne voulons plus débloquer des moyens du PIA, si nous n’avons pas répondu à la question : « que se passera-t-il si cela marche ? ». La réponse à cette question nécessite un engagement mutuel entre les ministères : les ministères doivent identifier les moyens qu’ils réorienteront et mobiliseront, si la stratégie d’innovation fonctionne. Ils doivent s’engager quant à leurs actions, si la preuve de concept est faite. Ensuite, il faut espérer que la ligne soit tenue. Cette discussion a eu lieu, y compris avec les opérateurs du ministère de l’Éducation nationale, comme le réseau Canopé.

Un budget comme le PIA donne une capacité d’action rapide pour mettre en place des pilotes et des expérimentations. Cela permet au ministère de prendre le temps de construire sa stratégie sur la base d’une expérimentation qui a fonctionné. Les ministères témoignent d’une certaine aversion au risque : il est très difficile de réussir à préserver leurs budgets d’innovation. En période de crise, les premiers budgets que l’on coupe dans les entreprises sont ceux alloués à la communication et à l’innovation. L’État a donc repris à sa charge ces postes de dépenses : le budget du PIA 4 est ainsi passé de 10 à 20 milliards d’euros. Le PIA permet cette respiration. Des envies s’expriment au sein des ministères : notre travail consiste à les trouver, à les réunir et à les entraîner. L’« agencisation » permet d’aller plus vite sans forcément produire des résultats plus transformants. Les moyens réglementaires ne nous appartenant pas, il nous faut donc convaincre par la preuve.

M. Philippe Latombe, rapporteur. Dans votre travail de mutualisation, quels rapports entretenez-vous avec le Haut-commissaire au Plan ? Vous intervenez à la fois sur la prospective et sur la mise en œuvre. Comment mutualisez-vous les idées ?

Quels domaines du numérique n’avons-nous pas investi alors que nous le devrions, d’autres pays étant, eux, en train de les investir ?

Mme Naomi Peres. Un des principaux services du Haut-commissariat au Plan est France Stratégie, un service du Premier ministre avec lequel nous travaillons de longue date. Notre temporalité n’est pas la même que celle du Haut-commissariat au Plan. Nous sommes une petite équipe. Par conséquent, nous construisons notre capacité prospective sur la base de travaux existants, et notamment ceux élaborés par France Stratégie. Nous entretenons par ailleurs beaucoup de liens avec eux au titre d’une autre de nos missions : l’évaluation socio-économique des grands projets d’investissement. Le Haut-commissariat rend visible un travail de prospective que nous pouvons intégrer. Lorsque nous construisons une stratégie à cinq ans, il est extrêmement intéressant de savoir quelle est la stratégie de l'État à dix ans. Nos travaux s’articulent donc assez naturellement.

Nous avons voulu construire un PIA qui ne soit pas préprogrammé à l’avance. Notre PIA est désormais désectorisé. Il est construit avec des grands outils d’intervention, de l’amont à l’aval, mais nous n’indiquons plus à l’avance quel montant du budget sera consacré aux transports, à l’hydrogène ou à la cybersécurité. Nous disposons de moyens, nous avons construit une doctrine et des principes d’intervention, et nous les appliquons à différentes stratégies. Si demain, le Haut-commissaire au Plan identifie un sujet majeur de transformation publique qui nécessite des investissements dans l’innovation, le PIA peut intervenir. Nos travaux se répondent donc.

En ce qui concerne les secteurs du numérique, certaines stratégies sont déjà annoncées et une vingtaine, en cours d’élaboration, font l’objet de consultations publiques ou d’appels à manifestation d’intérêt. Ces stratégies en cours d’élaboration dans le numérique sont les suivantes : l’enseignement et le numérique ; la santé numérique ; la 5G et les technologies des réseaux de communications ; un complément à la stratégie d’intelligence artificielle concernant la confiance dans l’intelligence artificielle ; le cloud ; le verdissement du numérique ; la nanoélectronique à la suite du plan nano ; les transports pour le volet de digitalisation des mobilités ; la transition numérique des industries culturelles. Le numérique prend une très grande place dans le PIA 4 : indépendamment des sujets abordés d’un point de vue technologique, le numérique sera présent dans nombre des stratégies d’investissement que nous financerons. Le numérique est pour nous, à la fois, un secteur et un levier très transverses.

Tous ces domaines ont été identifiés après une large consultation. Si demain un domaine était identifié comme prioritaire – comme le quantique l’a été –, notre programme peut intervenir, du moment que l’on respecte sa doctrine et que l’on pense au déploiement des innovations. Il n’y a pas de restriction à cet égard.

M. Philippe Latombe, rapporteur. Que recouvre la stratégie relative à l’enseignement ?

Mme Naomi Peres. Je ne souhaite pas dévoiler les annonces prochaines. Nous pourrons vous faire connaître les actions conduites en préfiguration de cette stratégie, qui ont commencé dès 2020. En plus du dispositif des démonstrateurs territoriaux, nous avons œuvré à doter les universités de moyens pour hybrider les formations. Nous avons également couvert un volet de recherche, qui comprend la constitution de cohortes pour pouvoir suivre les élèves sur le long terme. Nous souhaitons transposer, dans l’éducation, la logique des grands équipements de recherche que sont les cohortes pour la santé. Nous avons également travaillé sur l’intelligence artificielle appliquée à l’éducation et ouvert un concours d’innovations pour débloquer des financements. Nous travaillons enfin énormément à la formation : nous avons travaillé sur les instituts nationaux supérieurs du professorat et de l'éducation (Inspé) du futur ; nous avons également développé la formation à distance des enseignants.

La stratégie « Éducation et numérique » expose aussi, en plus des investissements du PIA, les actions du ministère et de ses opérateurs pour déployer les innovations. Cette stratégie apporte une visibilité sur les actions à venir pour les trois ou quatre prochaines années, qu’il s’agisse des investissements du PIA en faveur de l’innovation et des actions de déploiement et de généralisation du ministère et de ses opérateurs.

M. Philippe Latombe, rapporteur. Votre démarche apporte des financements et des solutions technologiques. Comment le ministère vous accompagne-t-il par un mouvement de fond, permettant l’intégration de ces technologies dans les formations des professeurs ou dans la scolarité des élèves ? Avez-vous un effet d’entraînement sur les ministères ?

Mme Naomi Peres. Nous essayons d’avoir un effet d’entraînement. Nous évaluons beaucoup nos actions. L’effet d’entraînement se mesure différemment en fonction des secteurs. Il est assez nouveau, pour nous, d’intervenir dans l’éducation avec cette ampleur. Nous n’avions jamais pu, par le passé, construire une stratégie d’innovation avec le ministère. Sur ce sujet, notre démarche ne peut fonctionner que s’il existe un très fort alignement avec la stratégie du ministère. Par exemple, nous finançons quatre Inspé du futur, à charge ensuite, pour le ministère, de généraliser les dispositifs qui auront fonctionné.

De manière générale, nous appliquons à la sélection de nos projets un critère de réplicabilité. Nous nous posons la question suivante : les projets que nous finançons ont-ils la capacité à être généralisés ? S’il s’agit d’une technologie, nous nous interrogeons sur la demande existante pour cette technologie et sur la capacité des industriels à l’insérer dans leurs processus de production.

Les projets territoriaux supposent de complètement renverser cette approche. Par l’action « Territoires d’innovation » par exemple, nous avons cherché des porteurs de projets aux idées novatrices. Nous avons donc identifié des sujets, aussi bien dans la santé que dans l’agriculture. Nous souhaitons accompagner les acteurs à agir différemment. Ce programme est novateur et il a été difficile à monter.

Notre logique pour convaincre de généraliser les innovations que nous finançons est la suivante :

–  tout d’abord, associer le ministère, en amont, dans l’élaboration de la stratégie – cela est plus long car nous prenons le temps de nous mettre d’accord sur une feuille de route ;

– ensuite, démontrer que les solutions fonctionnent.

Nous avons la chance d’être rattachés au Premier ministre. Le PIA 4 est allé un cran plus loin : nous apportons désormais un soutien au déploiement en finançant des formations et de l’ingénierie de formation. Nous sommes prêts à aller jusqu’au bout de la preuve de concept. Une fois que cette preuve de concept est faite, il n’appartient plus au SGPI de la déployer. Parfois, il revient au marché de prendre le relais. Parfois, le ministère doit prendre le relais pour faire  « sauter les derniers verrous ». Parfois, enfin, les opérateurs comme la Caisse des dépôts et consignations prennent le relais. Cela peut très bien fonctionner. Le premier financement est souvent le plus difficile – c’est pourquoi nous sommes là.

M. Philippe Latombe, rapporteur. Y’a-t-il des ministères ou des secteurs d’activité dans lesquels vous n’êtes jamais sollicités ? Ou à l’inverse, vient-on vous solliciter avec de nombreux projets – qui ne sont pas tous innovants – et êtes-vous obligés de faire un tri ?

Mme Naomi Peres. Le PIA 4 a beaucoup élargi notre champ d’intervention. Cela ne veut pas dire que nous interviendrons dans tous les domaines. Nous souhaitons avant tout élaborer une stratégie conjointe avant de lancer un appel à projets. Les situations sont très hétérogènes. Certains ministères sont très mûrs et l’élaboration d’une stratégie d’innovation peut aller très vite. Pour certains ministères, cette démarche est nouvelle : elle prend plus de temps – car il s’agit des ministères avec lesquels nous travaillions moins, le PIA ayant historiquement moins investi dans leurs secteurs d’intervention.

Il n’y a pas de ministère avec lequel nous ne travaillons pas du tout. En revanche, nous travaillons davantage avec certains ministères : le ministère de l’industrie et le ministère de la recherche sont de grands « clients ». Nous essayons même d’articuler nos interventions avec le ministère de la défense en matière de technologies duales. Nous ne travaillons en revanche pas beaucoup avec le ministère de la justice.

M. Philippe Latombe, rapporteur. Je m’interrogeais justement sur deux ministères : le ministère de la justice et le ministère de l’intérieur.

Mme Naomi Peres. Le PIA 4 est ouvert. Si un ministère présente une stratégie d’intervention qui procure des retombées en matière de transition écologique ou de résilience, le PIA peut intervenir. Nous avons souhaité renforcer encore davantage sa dimension interministérielle et ouvrir le champ à de nouveaux secteurs, dans la limite des conditions d’intervention du programme.

M. Philippe Latombe, rapporteur. Y a-t-il des sujets que nous n’avons pas abordés et que vous souhaiteriez porter à notre connaissance ?

Mme Naomi Peres. Je reviendrai sur la formation, qui est un domaine dans lequel le PIA a déjà beaucoup travaillé par le passé. L’intervention du PIA est très connue en ce qui concerne le regroupement d’universités. Nous avons également récemment conduit beaucoup d’investissements dans le champ de l’innovation pédagogique, par exemple, par les campus des métiers et des qualifications. Le PIA intervient aussi bien pour les masters et les thèses que pour l’ingénierie de formation professionnelle ou pour la formation initiale. Nous souhaitons renforcer cette dimension dans le PIA 4. L’enveloppe consacrée au soutien au déploiement s’élève à trois milliards d’euros sur cinq ans. Une bonne partie de ce budget concernera l’ingénierie de formation. Ce levier est extrêmement important.

M. Philippe Latombe, rapporteur. Comment articulez-vous l’action du PIA avec l’action menée au niveau européen ? Cela concerne à la fois la gestion des moyens et les orientations stratégiques. Couvrez-vous des domaines que l’Europe ne couvre pas, ou inversement ?

Mme Naomi Peres. Le PIA est intégré, pour une partie de ses crédits, dans le plan de relance. Le PIA porte ainsi la majeure partie du plan de relance dans le secteur du numérique. Le travail est en cours avec la Commission pour définir le contenu du plan de relance français : nous devons aligner les axes d’intervention en matière de numérique. Par ailleurs, nous travaillons au quotidien avec la direction générale du numérique, dont la mission principale est d’aligner les orientations de l'État sur celles de la Commission. L’alignement stratégique en matière de numérique est également très suivi par l’Élysée. Nous n’éprouvons donc pas de grande difficulté à comprendre les grandes orientations stratégiques dans ce domaine.

Nous devons néanmoins les mettre en œuvre. Nous avons travaillé en amont avec la Commission sur un appel à projets à destinations des universités européennes de recherche. Plutôt que de lancer un appel à projets français et un appel à projets européen, nous avons opéré de la manière suivante : puisque nous savons que le processus de sélection européen est extrêmement exigeant, nous nous sommes engagés à financer toutes les universités françaises retenues par la Commission. Nous avons travaillé en amont avec la Commission sur le cahier des charges et nous savons que leur processus de sélection est extrêmement exigeant, il est donc normal que nous nous alignions sur leur sélection. Nous pourrions dupliquer cette approche à des entreprises.

Nous travaillons également sur les régimes des important projects of common european interest (IPCEI) qui impliquent nécessairement deux pays au minimum. Nous travaillons sur plusieurs IPCEI avec l’Allemagne ; nous participons également à un IPCEI réunissant quatre pays sur le sujet du cloud.

De manière générale, la subsidiarité est une question intéressante. Considérant les volumes consacrés au numérique et les difficultés d’accès au marché européen, nous pourrions agir en subsidiarité, et décider de financer ce que l’Europe ne finance pas. Mais honnêtement, si les projets ne sont pas cofinancés par plusieurs États, je ne suis pas sûre que l’on puisse arriver à aligner les financements suffisants pour des projets numériques. Je ne sais pas si nous y aurions intérêt. Nous tentons plutôt de bien nous articuler avec l’action européenne et de simplifier au maximum les démarches pour les entreprises.

M. Clément Jakymiw. En ce qui concerne le partage des feuilles de route, nous nous posons systématiquement la question de l’articulation des dossiers qui nous parviennent avec le programme Horizon 2020. Nous devons comprendre comment les projets s’intègrent dans une dynamique de structuration des filières à l’échelle européenne, afin de soutenir des projets qui, à terme, pourront s’insérer sur le marché européen, parce qu’ils seront considérés par la Commission européenne. Cela est important. La notion de marché européen est critique dans le déploiement des entreprises en ce qui concerne le volet numérique. Nous nous posons donc systématiquement la question de l’articulation de la feuille de route nationale et de ses filières avec la feuille de route européenne, afin qu’il n’y ait pas de solution de continuité, mais qu’au contraire un biseau se crée, au niveau national, transnational et européen.

Mme Naomi Peres. J’ajouterai un élément sur le nouvel instrument French Tech Souveraineté. Nous y avons consacré des fonds propres. Les précédents PIA ont eu un vrai rôle de structuration du marché du financement, en particulier dans le numérique. Le PIA intervient en fonds de fonds pour la structuration du marché. Il intervient également en fonds direct en cas de faille de marché. Le nouvel instrument French Tech Souveraineté n’est pas un fonds d’investissement, il est une poche d’intervention à la main de l'État. Il permet, par exemple, de se défendre contre les comportements agressifs d’achats de start-up. Cette enveloppe d’intervention peut permettre de racheter des start-up, à la manière d’une petite agence des participations de l'État (APE) des entreprises technologiques. Nous avons donc renforcé l’arsenal des outils du PIA pour que nos pépites ne subissent pas la préemption d’un investisseur étranger.


—  1  —

Audition, ouverte à la presse, de M. le professeur Thibault Douville, professeur des universités, directeur du master Droit du numérique à l’Université Caen Normandie
(11 mars 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Nous recevons M. le professeur Thibault Douville, professeur des universités en droit privé et directeur du master Droit du numérique à l’Université Caen Normandie.

Cette audition porte sur les aspects juridiques de la souveraineté numérique, s’agissant notamment de la protection des données personnelles. Plusieurs décisions sont intervenues à ce sujet ces derniers mois – la plus importante étant la décision Schrems II, rendue par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020. Celle-ci invalide le Privacy Shield, c’est-à-dire la décision de la Commission européenne permettant le transfert de données par des entreprises européennes vers des pays tiers. Cette décision a suscité des doutes chez nombre d’acteurs, même si une recommandation du Comité européen à la protection des données est intervenue, depuis, pour préciser de quelle façon les entreprises pourraient, elles-mêmes, évaluer le cadre juridique externe afin de poursuivre correctement leurs transferts de données. Nous souhaiterons vous entendre également à propos des autres initiatives européennes en cours.

M. Philippe Latombe, rapporteur. Je souhaite vous questionner sur trois points en particulier.

Je souhaite d’abord vous interroger sur la définition de la souveraineté numérique. Ce sujet fait l’objet d’une attention croissante de la part des pouvoirs publics depuis la crise sanitaire. Au cours de nos auditions, nous avons eu l’occasion de recueillir plusieurs définitions de cette notion très large, que certains rapprochent parfois d’une forme d’autonomie stratégique ou décisionnelle. J’aimerais donc savoir comment vous appréhendez ce concept, en votre qualité de juriste, et quelle définition vous pouvez lui donner.

Ma deuxième interrogation concerne la décision Schrems II prise par la CJUE le 16 juillet 2020. De nombreux acteurs auditionnés, depuis le début des travaux de notre mission d’information, nous ont indiqué que cette décision avait créé beaucoup d’incertitudes. Le Health Data Hub a mandaté un cabinet d’expertise juridique pour en mesurer la portée exacte en ce qui concerne ses propres activités. J’aimerais donc que vous nous présentiez ses conséquences en droit et votre interprétation de sa portée.

Quelles sont les conséquences, pour la France, de l’arrêt de la CJUE du 2 mars 2021 concernant l’affaire Prokuratuur, dont les acteurs estiment qu’il pourrait poser des difficultés pour la bonne marche des procédures judiciaires françaises.

J’aimerais enfin aborder avec vous les différents projets de régulation du numérique et des données qui occupent l’actualité européenne ces derniers mois. Je pense en particulier au Digital Services Act (DSA), au Digital Market Act (DMA) et au Data Governance Act (DGA). Pensez-vous que ces initiatives s’orientent dans le bon sens ? Avez-vous des remarques ou des points d’alerte à nous communiquer sur ces projets qui n’ont pas encore fait l’objet du processus de trilogue ?

Pr Thibault Douville, professeur des universités, directeur du master Droit du numérique à l’Université Caen Normandie. La souveraineté numérique est un concept émergent en droit. Il ne fait pas l’objet, pour l’instant, d’une définition juridique. Comment la définir par référence au concept classique de souveraineté ? La souveraineté désigne le caractère suprême d’une puissance qui n’est soumise à aucune autre. Trois caractéristiques sont généralement mises en avant pour préciser sa définition. On s’attache tout d’abord au titulaire de celle-ci – qui est souverain ? On s’attache ensuite aux prérogatives mises en œuvre – quelle est la puissance souveraine ? On considère enfin la souveraineté comme une qualité constitutive de l'État : elle permet de distinguer l'État des autres organisations. Ce concept est donc étroitement dépendant d’une logique territoriale, qui pose difficulté dans l’environnement numérique.

Comment définir la souveraineté dans l’environnement numérique ? La souveraineté comme expression d’une puissance souveraine – c'est-à-dire la possibilité d’adopter des normes et de les faire appliquer dans l’environnement numérique – est un aspect admis de la souveraineté. De ce point de vue, l'État exerce une souveraineté sur l’espace numérique par les dispositions qu’il adopte, sous réserve des difficultés liées à la compétence territoriale.

La souveraineté numérique est, dans l’ordre externe, la capacité de l'État à demeurer indépendant. Ce deuxième aspect de la souveraineté numérique complète le premier : il existe, d’une part, l’aptitude à émettre des normes dans l’environnement numérique, et, d’autre part, son autonomie stratégique dans l’environnement numérique.

À mon sens, ces deux aspects permettent de définir la souveraineté numérique : elle recouvre un aspect normatif et un aspect lié à l’autonomie stratégique – économique, juridique et technologique. Ces deux aspects rejoignent, d’une certaine manière, la distinction classique entre la souveraineté interne et la souveraineté externe.

Le terme de souveraineté numérique n’est généralement pas admis en droit, pour une raison assez simple : Internet repose sur une logique initialement libertarienne. Ce réseau pourrait donc se passer d’État. Cette approche trouve son fondement dans la déclaration d’indépendance du cyberespace de 1996. Elle est aujourd'hui remise en cause par les acteurs d’Internet, puisque nous assistons à un mouvement de privatisation de ce réseau. L’émergence d’acteurs importants comme les géants du web américains – Google, Apple, Facebook, Amazon et Microsoft (GAFAM) – et chinois – Baidu, Alibaba, Tencent, Xiaomi (BATX) – met en exergue l’idée selon laquelle les États deviennent des colonies numériques. Il est vrai que la souveraineté réelle de l'État interroge, dès lors que des acteurs maîtrisent des données, émettent une monnaie, contrôlent les paiements, maîtrisent les places de marché, contrôlent la liberté d’expression en ligne et proposent des solutions d’identité numérique. Les différents modes d’expression de l'État sont ainsi petit à petit « mangés » par ces acteurs.

Il existe une production législative très importante pour encadrer le numérique, depuis une dizaine d’années, à l’initiative de l’Union européenne. Nous faisons face à un empilement très important de textes qui apportent des dispositions en matière de services de confiance, de protection des données personnelles et non personnelles, de protection des équilibres économiques. Nous assistons à une densification normative pour encadrer le numérique. Je ne suis pas persuadé que les réponses à ces enjeux soient nécessairement toujours juridiques. Il y a, à mon sens, un vrai problème de politiques publiques en matière de souveraineté numérique.

J’en veux pour exemple l’identité numérique, qui traduit l’aptitude des États à exercer leur souveraineté numérique. Elle constitue une clé pour transformer les services publics et pour développer la confiance dans les services en ligne. Du point de vue de l'État, ce service se développe très lentement avec France Connect Plus, qui n’est pas encore notifié à la Commission et qui n’est pas encore interopérable – alors même que des acteurs privés prétendent proposer des solutions en la matière, comme Facebook avec ID Connect. L'État a pourtant naturellement vocation à proposer une solution d’identification électronique à ses citoyens, et ainsi favoriser l’émergence d’un socle de confiance en ligne et réaffirmer sa place dans l’environnement numérique.

La souveraineté numérique s’exprime au-delà du droit par des moyens suffisants, comme les effectifs de la Commission nationale de l'informatique et des libertés (CNIL) ou de la Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (PHAROS). Il existe une vraie question d’investissement humain et technique, ainsi qu’une nécessité d’investissement dans la recherche de technologies innovantes. Cela constitue de vraies difficultés pour les États, qui doivent investir suffisamment dans l’innovation pour conserver une longueur d’avance par rapport aux acteurs privés.

L’arrêt Schrems II est un arrêt fondamental en droit des données à caractère personnel. Cet arrêt était inattendu du point de vue de sa solution, car le contentieux qui a amené à l’arrêt Schrems II ne portait pas sur la validité de la décision d’adéquation Privacy Shield, mais sur le recours à des clauses contractuelles-types par Facebook pour transférer des données aux États-Unis.

Le contentieux ayant donné lieu aux arrêts Schrems I et II est assez ancien. L’autorité irlandaise de protection des données, amenée à se prononcer, a formulé, par deux fois, des questions préjudicielles qui ont conduit la Cour de justice à rendre un arrêt. Dans le cas de Schrems II, à l’occasion de l’appréciation de la validité des clauses contractuelles-types pour le transfert des données, la Cour de justice a jugé nécessaire de se prononcer sur la décision d’adéquation du Privacy Shield. Pour qu’un transfert de données à caractère personnel puisse avoir lieu d’Europe vers un pays tiers ou vers une organisation internationale, il faut s’appuyer sur une base juridique (comme une décision d’adéquation) permettant d’obtenir des garanties équivalentes à ce qui existe en droit de l’Union pour la protection des données, ou à défaut, sur des mécanismes beaucoup plus simples comme le consentement à un traitement de données pour des transferts ponctuels.

Dans l’arrêt Schrems, la Cour de justice a été amenée à apprécier la validité de la décision d’adéquation sur le point de savoir si les États-Unis présentaient ou non un niveau de protection des données équivalent à celui offert par le droit de l’Union. Elle a estimé que les États-Unis n’offraient pas cette protection équivalente. Elle s’est appuyée sur la protection du droit au respect de la vie privée garanti par l’article 7 de la Charte des droits fondamentaux, la protection du droit au respect des données à caractère personnel et son régime exprimé à l’article 8 de la Charte des droits fondamentaux et enfin, sur l’article 47 de la Charte des droits fondamentaux qui consacre le droit à un recours juridictionnel au titre des droits protégés par cette Charte.

Partant, la Cour de justice a été amenée à mettre en œuvre le contrôle habituel de proportionnalité. Elle s’est intéressée au but poursuivi par la législation américaine, à la nécessité de ce but et à la proportionnalité dans l’atteinte portée aux droits garantis par la Charte. À l’issue de cette analyse, la Cour de justice a estimé que la protection des données aux États-Unis ne présentait pas un niveau de garantie suffisant, car les personnes concernées ne bénéficient ni de droits effectifs et opposables, ni d’un droit à un recours juridictionnel. Elle a également jugé que le médiateur mis en place par les États-Unis, en tant qu’autorité chargée de protéger les données à caractère personnel des citoyens européens, ne présentait pas de garantie d’indépendance et ne disposait pas d’un pouvoir permettant d’adopter des dispositions contraignantes en matière de protection des données.

Par ce raisonnement, la Cour de justice a donné des indications importantes sur la manière d’apprécier le niveau de garantie équivalent présenté par une législation étrangère. Cela est important, car ce critère permet d’apprécier la validité d’une décision d’adéquation ou le caractère adéquat du recours à des garanties complémentaires, en l’absence d’une décision d’adéquation, comme des clauses contractuelles types ou des règles d’entreprise contraignantes. En rendant cet arrêt Schrems, la Cour de justice a donc donné la méthode : elle a précisé le niveau de protection des données requis en droit de l’Union, et donc requis d’un État tiers pour qu’une décision d’adéquation soit adoptée ou pour que des garanties appropriées soit adoptées pour compenser la différence de niveau de protection.

Pour les États-Unis, le recours à des clauses contractuelles-types ne permet pas de compenser la différence de niveau de protection, car celles-ci ne sont pas opposables à l'État américain et elles ne permettent pas, en elles-mêmes, d’accorder un recours juridictionnel aux citoyens européens, ni d’instituer une autorité de contrôle indépendante. En conséquence de cette décision, le transfert de données à caractère personnel vers les États-Unis est impossible. La législation américaine qui prévoit le contrôle et le stockage généralisé des données à caractère personnel transitant par les États-Unis rend difficilement possible l’adoption d’une nouvelle décision d’adéquation ou le recours à d’autres garanties appropriées. Le transfert des données vers les États-Unis est donc aujourd'hui prohibé. Le fait de procéder à un transfert de données entraîne une non-conformité au droit de l’Union, ce qui, en France, constitue une infraction pénale.

Cela cause un cataclysme dans les activités économiques. 65% de l’offre cloud est offerte par Amazon, dont une partie des serveurs se situe aux États-Unis. Dans le cas du Health Data Hub, Microsoft stocke des données en Europe, mais on sait que des opérations sur les données sont, pour partie, conduites grâce à un transfert temporaire via des serveurs américains. Ces situations causent potentiellement une non-conformité au droit de l’Union à la suite de l’arrêt Schrems II.

M. Philippe Latombe, rapporteur. Quelles sont les conséquences de cet arrêt pour les structures des entreprises ou des administrations qui utilisent des clouds américains ? Pour le Health Data Hub, le Conseil d’État a accordé à l’État un délai complémentaire au motif que les clés de chiffrement sont propriété de l’organisation qui collecte les données, qui est de droit européen. Il a été par ailleurs exigé, par contrat, que les données soient hébergées dans des serveurs en Europe. Est-ce suffisant aujourd'hui ?

Pr Thibault Douville. La conséquence de principe de cet arrêt est que la décision d’adéquation ne peut plus servir de fondement juridique pour le transfert de données à caractère personnel. Nécessairement, un autre fondement juridique doit être retenu pour procéder à ce transfert. Puisque la décision d’adéquation est invalidée, des fondements juridiques doivent présenter des garanties appropriées permettant de compenser la différence de niveau de protection. Il est ainsi admis qu’un transfert peut intervenir vers un pays tiers dans l’hypothèse où des mesures complémentaires sont adoptées. Le chiffrement des données constitue un exemple de mesure complémentaire pouvant être adoptée pour assurer une protection des données à caractère personnel de niveau équivalent. D’autres moyens existent, comme une pseudonymisation ou à une anonymisation des données. Si des mesures complémentaires peuvent être adoptées pour compenser la différence de niveau de protection, encore faut-il que ces mesures soient effectives. Le chiffrement des données est un moyen intéressant pour lever l’obstacle au transfert des données.

M. Philippe Latombe, rapporteur. Lors d’une précédente audition, IBM nous a expliqué ne pas être soumis au Cloud Act et n’avoir aucun problème d’extraterritorialité : IBM France est une filiale d’IBM Corporation, mais il s’agit d’une société de droit français qui n’est, à ce titre, pas soumise aux règles extraterritoriales américaines. Le fait, pour une société de droit européen, d’entretenir un lien capitalistique majoritaire avec une société américaine assujettit-il la société à la réglementation américaine ? Si tel n’était pas le cas, le fait d’utiliser des algorithmes ou des solutions informatiques propriétés de la maison-mère aux États-Unis, assujettit-il la société à la réglementation américaine ?

Pr Thibault Douville. Je ne suis absolument pas spécialiste du Cloud Act, et par conséquent je me permettrais de ne pas répondre à votre question. Je procèderai à une vérification et vous apporterai une réponse écrite par la suite.

S’agissant de l’utilisation des moyens, toute la difficulté est de savoir comment ces moyens sont utilisés. Si des moyens de traitement de données sont utilisés dans le cloud et que ceux-ci supposent un transfert de données vers des serveurs hébergés aux États-Unis, la question se pose à la fois du transfert des données à caractère personnel vers un pays tiers et de l’application du Cloud Act.

Dans l’hypothèse du traitement des données dans le cloud, la question du maintien des mesures complémentaires, par exemple du déchiffrement des données, peut se poser. À cette occasion, la non-conformité au Règlement général sur la protection des données (RGPD) peut réapparaître, puisque les mesures complémentaires de protection des données seront levées pour un temps déterminé.

M. Philippe Latombe, rapporteur. La CJUE connaît une actualité forte sur ces sujets. L’arrêt Prokuratuur fait suite aux arrêts Tele2 et La quadrature du Net suite à une question préjudicielle du Conseil d’État sur le stockage des métadonnées. Quels sont les impacts de ces arrêts sur le droit français ?

Pr Thibault Douville. Cette dynamique jurisprudentielle trouve son origine dans la directive européenne de mars 2006 sur la conservation des données de communications électroniques. Cette directive est intéressante car elle prévoit la conservation généralisée d’un certain nombre de données liées aux communications électroniques, qu’il s’agisse de données d’identification des utilisateurs ou de métadonnées. C’est ce qui est en cause dans la législation interne, notamment les dispositions du code des postes et des télécommunications électroniques et du code de la sécurité intérieure.

La Cour de justice a invalidé la décision de 2006 dans son arrêt Digital rights en affirmant l’interdiction du stockage et de la conservation généralisée de l’ensemble des données de connexion. Ce stockage et cette conservation sont, selon la Cour, disproportionnés par rapport aux buts poursuivis. Dès 2014, la Cour de justice mettait en avant l’ingérence dans le droit au respect de la vie privée et le non-respect des données à caractère personnel. Elle mettait en avant l’idée selon laquelle le texte n’opérait aucune différenciation entre les différents objectifs poursuivis par le législateur : la conservation des données était déconnectée du but poursuivi, soit de prévention d’atteinte à la sécurité publique ou de lutte contre la criminalité grave.

Postérieurement à l’invalidation de cette décision de 2006, la Cour de justice s’est à nouveau prononcée sur la question, cette fois au sujet de dispositions nationales par l’arrêt Tele2 puis par l’arrêt La quadrature du Net, en reprenant des solutions similaires et en apportant des précisions quant à ces arrêts antérieurs. Elle mettait notamment en avant une échelle de mesures pouvant être adoptées selon le but poursuivi : lutte contre le terrorisme, lutte contre la criminalité grave ou protection de la sécurité publique. En fonction du but poursuivi, les mesures de conservation des données varient : elles peuvent être des mesures de conservation généralisée mais temporaire, des mesures de conservation ciblée et temporaire, des mesures de conservation uniquement des données d’identification des utilisateurs. Les solutions apportées par les différents arrêts ne sont qu’une application de l’exigence de proportionnalité entre la protection des données, d’une part, et le but poursuivi, d’autre part.

En l’état, les dispositions internes sont remises en cause et supposent une réécriture. Cette réécriture ne me semble pas impossible : elle suppose de tenir compte du but poursuivi, qui varie en fonction de la gravité de l’infraction en cause.

Le récent arrêt Prokuratuur possède tout de même une spécificité. La Cour de justice se prononçait cette fois sur l’hypothèse dans laquelle des infractions peu graves auraient été commises – il s’agissait de vols pour des montants relativement réduits. Pour identifier l’auteur de ces vols, une juridiction estonienne avait permis la collecte et la conservation de l’ensemble des données concernant l’auteur des vols. La Cour de justice a considéré que la conservation généralisée des données de l’utilisateur permettait de dresser un profil de la vie privée de l’individu et était, là encore, disproportionnée par rapport au but poursuivi. La Cour de justice rappelle donc sa jurisprudence antérieure et la nécessité de cantonner les mesures de collecte et de conservation des données à la criminalité grave et à des menaces graves contre la sécurité publique. Cela n’interdit pas forcément l’ensemble des mesures de collecte ou de conservation des données, dès lors qu’elles sont ciblées et qu’elles ne permettent pas de dresser un portrait de la vie privée de l’individu. La portée donnée à la solution de cet arrêt est peut-être excessive : la Cour de justice n’interdit pas des mesures ciblées de conservation ou d’accès aux données mais la communication de données doit être limitée dans son étendue temporelle et matérielle.

Ces arrêts, depuis Tele2 jusqu’au récent arrêt de mars 2021, viennent mettre en œuvre l’exigence de proportionnalité. Le législateur n’est pas interdit de mettre en place des mesures de conservation de données, mais ces mesures doivent être proportionnées par rapport au but poursuivi. Dès lors, il est étonnant que le législateur interne n’ait pas mis en œuvre l’exigence de proportionnalité en droit interne dès l’arrêt Tele2. Il aurait pu prévoir, par exemple, de rendre possible la conservation de l’ensemble des données d’identité des utilisateurs, de limiter la conservation de l’activité de l’utilisateur à certaines circonstances de lutte contre la criminalité grave et d’instituer un régime à paliers, selon la gravité des infractions ou du but de prévention.

M. Philippe Latombe, rapporteur. Au-delà des données personnelles, l’arrêt Prokuratuur questionne-t-il l’indépendance de la procédure ? L’arrêt de la Cour de justice indique que le ministère public ne présentait pas les garanties d’indépendance nécessaires pour demander la communication de ces informations. Est-ce un élément nouveau dont il faut tirer des conséquences ?

Pr Thibault Douville. Oui, cela est un élément nouveau. La Cour de justice ne s’était pas prononcée sur cet aspect dans les arrêts précédents. Sur le fondement de l’article 15 de la directive 2002-58, la Cour de justice s’oppose à une réglementation nationale donnant compétence au ministère public pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale. Elle pose l’exigence de l’intervention d’un juge indépendant pour autoriser l’accès aux données, le ministère public ne remplissant pas, dans le cas estonien, les conditions suffisantes d’indépendance. Cela est certainement également applicable au droit français : je pourrais imaginer que l’on confie la mission d’autoriser l’accès aux données au juge des libertés et de la détention, en raison de l’atteinte aux droits et libertés que cet accès va entraîner.

M. Philippe Latombe, rapporteur. Cela veut-il dire que cette décision serait également applicable au juge d’instruction en France ?

Pr Thibault Douville. Oui. Deux aspects ressortent de l’arrêt : la Cour de justice distingue bien, d’une part, l’autorité de poursuite et, d’autre part, la mission d’instruction. Ni l’un ni l’autre ne pourrait se voir confier cette prérogative, qui serait laissée à un tiers. Ce tiers pourrait être le juge des libertés et de la détention en France, qui présente les garanties d’indépendance requises pour adopter une mesure attentatoire au droit au respect de la vie privée ainsi qu’à la liberté d’expression, puisque les données recueillies au titre de la criminalité grave permettent de dresser un profil complet de la personne concernée.

M. Philippe Latombe, rapporteur. Quel impact peut avoir cet arrêt sur nos procédures en cours ? Le Conseil d’État a saisi la CJUE d’une question préjudicielle. Dans un mémoire, le gouvernement a fait état d’une inapplicabilité de la décision de la CJUE pour des raisons constitutionnelles. Qu’en pensez-vous ?

À la lumière de ce nouvel arrêt, les procédures en cours seraient-elles susceptibles d’être remises en cause ? Quelles mesures correctives faut-il donc prendre ?

Pr Thibault Douville. Je répondrai d’abord à l’argument de l’identité constitutionnelle de la France comme moyen d’échapper à cette jurisprudence et plus largement au régime applicable à la protection de la vie privée dans le cadre des communications électroniques. L’identité constitutionnelle de la France est une notion assez récente, découverte par le Conseil constitutionnel au début des années 2000. À l’occasion de la transposition en droit interne d’une directive communautaire, le Conseil constitutionnel a estimé, par une décision en date du 27 juillet 2006, que s’il n’appartenait qu’au juge communautaire de contrôler le respect de cette directive et des compétences définies par les traités, il a précisé que la directive pourrait faire l’objet d’un contrôle dans l’hypothèse où elle irait à l’encontre d’une règle ou d’un principe inhérent à l’identité constitutionnelle de la France. Plus tôt, dans une décision du 10 juin 2004, le Conseil constitutionnel avait évoqué l’idée de l’identité nationale inhérente aux structures fondamentales et politiques constitutionnelles de la France.

Cette notion pose un problème de définition. Nous avons bien du mal à identifier le contenu de l’identité constitutionnelle de la France : la langue, l’unicité du peuple, la laïcité peuvent naturellement en faire partie. La procédure pénale et la conservation des données à fins de prévention des infractions ou de lutte contre la criminalité relèvent-elles de l’identité constitutionnelle ? Doit-on considérer que l’exercice de la souveraineté pour garantir la sûreté publique est rattaché à l’identité constitutionnelle de la France ?

À mon sens, cela n’est pas le cas, pour deux raisons au moins. Tout d’abord, les dispositions relatives à la protection des données de communications électroniques font l’objet d’une européanisation depuis bientôt vingt ans. L'État français applique cette législation, sans avoir jusqu’à présent invoqué l’identité constitutionnelle de la France. Ensuite, du point de vue du droit de l’Union européenne, l’invocation de l’identité constitutionnelle de la France permettrait d’échapper à l’application du droit de l’Union. Cet élément pose question. Un certain nombre de matières ne relèvent pas du champ du droit de l’Union, comme par exemple la défense nationale. La lutte contre les infractions ou la criminalité, en revanche, fait l’objet d’une européanisation. J’ai du mal à imaginer, dans ce contexte, en quoi les dispositions internes en matière de procédure pénale et de conservation des données présentent une spécificité française. Enfin, la France sert de modèle et invoquer l’identité constitutionnelle nationale pour échapper à l’application de ces dispositions conduirait d’autres États à tirer parti de l’argument.

Je note un point important : pourquoi le droit de l’Union européenne et le RGPD ont-ils vocation à s’appliquer ? Le droit de l’Union s’applique car sont visées, à chaque fois, des exigences de conservation de données qui s’imposent aux acteurs des traitements de données. C’est dans ce contexte que la Cour de justice a été amenée à se prononcer. J’ai du mal à concevoir que la législation interne pourrait être considérée comme distinctive par rapport au droit des autres États ou au droit de l’Union, et permettrait de justifier une forme d’exemption. Le Conseil constitutionnel n’a par ailleurs pas donné de définition générale de la notion d’identité constitutionnelle de la France, ce qui laisse la question en suspens.

Je répondrai maintenant à votre question sur les changements induits par cet arrêt en ce qui concerne la procédure pénale. L’arrêt Prokoratuur a une incidence en droit pénal interne, notamment du point de vue des actes d’instruction ou bien des actes d’enquête hors instruction. Pour l’instant, le juge des libertés et de la détention n’a pas vocation à autoriser la conservation ou l’accès aux données : un travail de réécriture serait donc à opérer de ce point de vue.

M. Philippe Latombe, rapporteur. Quelles seraient les conséquences d’une éventuelle acceptation par le Conseil d’État de l’argument de l’identité constitutionnelle de la France pour écarter le droit de l’Union ? Un de vos collègues professeur de droit a évoqué le risque de « balkanisation » du droit européen. Est-ce le vrai risque ?

Pr Thibault Douville. Il est évident qu’il existe un risque de balkanisation : suivre une telle approche peut conduire les autres États à adopter le même argument pour s’écarter du droit de l’Union, avec des champs d’application qui peuvent être variables. Pourquoi ne pas répliquer l’argument dans d’autres domaines ?

Il existe également un risque de conflit entre les juges. La Cour de justice pourrait tout à fait être amenée à se prononcer sur la position du Conseil d’État et à considérer que le droit de l’Union a vocation à s’appliquer à ces dispositions concernant la conservation et l’accès aux données de connexion. Cela créerait un problème de conciliation des positions entre l’ordre interne et l’ordre communautaire. Le fait d’évoquer l’argument de l’identité constitutionnelle de la France en la matière est absolument inédit.

Le sujet pourrait également être traité à l’occasion de la révision de la directive qui constitue le futur Règlement e-privacy. Il serait possible d’introduire directement dans le Règlement e-privacy un certain nombre de dispositions prévoyant la conservation de données de connexion à certaines conditions et dans certains buts de prévention du terrorisme ou de lutte contre la criminalité grave, ce qui permettrait de donner un socle européen à ces dispositions. La Cour de justice pourrait tout à fait être amenée à contrôler la validité de ce texte à l’aune de la Charte des droits fondamentaux et il ne faudrait donc pas que ce texte présente de disproportion. L’exigence de proportionnalité conduit à raisonner en escalier : plus l’on descend des marches de gravité, moins les données qui peuvent être conservées sont importantes.

M. Philippe Latombe, rapporteur. Cela nous permet d’échanger sur les trois projets de directives en cours. Selon vous, ces directives sont-elles bien calibrées et atteignent-elles leur but ?

Pr Thibault Douville. La proposition de règlement DSA, qui constitue une réforme de la directive sur le commerce électronique et le statut des intermédiaires techniques, est très intéressante. Tout en maintenant l’acquis communautaire en matière d’intermédiaires techniques (c'est-à-dire le principe d’irresponsabilité pour les hébergeurs et les fournisseurs d’accès à Internet), la proposition pose un cadre juridique, à plusieurs niveaux, en ce qui concerne la modération du contenu. Le texte s’applique aux prestataires de services intermédiaires, puis aux prestataires de services intermédiaires ayant la qualité de plateforme en ligne, puis aux grandes plateformes en ligne, avec des obligations différentes pour chaque sous-qualification.

Le DSA propose d’instituer un régime de modération des contenus par les plateformes en ligne. Son apport est très intéressant puisqu’il vise, à la fois, à lutter contre certains contenus illégaux ou illicites par rapport aux conditions générales d’utilisation des services et à garantir la liberté d’expression. Nous savons que l’équilibre est difficile à trouver. Le DSA propose un mécanisme intéressant, alliant des exigences concernant les notifications et les instructions de communication de données par les autorités compétentes, d’une part, et des mécanismes de recours interne, de règlement des différends, d’évaluation des risques systémiques présentés par les grandes plateformes en ligne quant à la liberté d’expression, d’autre part.

Certains aspects de ce mécanisme peuvent néanmoins poser difficulté. Le premier aspect problématique est politique : la régulation des contenus va d’abord peser sur des acteurs privés, la modération relèvant des plateformes. L’institution d’une autorité de contrôle indépendante – le Conseil supérieur de l'audiovisuel (CSA) pour la France – est une proposition intéressante, mais elle s’inscrit dans une logique de régulation.

Un point technique peut par ailleurs être bloquant : le recours à des traitements automatisés pour procéder à la modération des contenus. Le DSA prévoit une exigence de transparence. La question de la transparence algorithmique soulève une vraie difficulté. Ne faudrait-il pas mettre en place des tests plus poussés des algorithmes dans des situations déterminées, ou par rapport à des types de propos déterminés ? On avance souvent l’idée d’une forme d’analyse d’impact algorithmique, mais il n’est pas certain que cela soit suffisant.

L’internalisation du mécanisme de recours est intéressante – il s’agit d’un mécanisme de règlement interne des différends dans l’hypothèse de suppressions de comptes ou de contenus. Là encore, le règlement interne a vocation à être indépendant, mais relève de la sphère privée. Nous assistons à une forme de marginalisation du juge dans le cas des atteintes à la liberté d’expression et cela peut poser problème. Il est, de plus, proposé de mettre en place un mécanisme de règlement extra-judiciaire des différends, en cas d’insatisfaction quant à la décision de règlement interne adopté. Cet empilement de mécanismes n’est pas forcément satisfaisant et risque d’être très long. Il peut être intéressant de maintenir une procédure judiciaire rapide pour qu’une juridiction se prononce sur un conflit lié à l’absence de modération d’un propos ou à la suppression d’un propos. La marginalisation du juge me surprend, avec la désignation du CSA comme autorité de contrôle. Le recours contre une décision du CSA relève du Conseil d’État et non du juge judiciaire, garant des libertés individuelles. En tant que juriste privatiste, cette décision m’interroge.

Le projet de loi renforçant le respect des principes de la République va à mon sens dans le bon sens, proposant une forme d’introduction anticipée du DSA : il permettra d’expérimenter par avance le système du DSA et de bénéficier d’un retour d’expérience qui pourra être intéressant lors des négociations sur le texte.

M. Philippe Latombe, rapporteur. Dans les futures négociations, les pays européens sont-ils d’accord sur les contenus qui seront soumis à cette réglementation ? Les pays européens ont-ils la même interprétation de ce qu’est la liberté d’expression ?

Pr Thibault Douville. C’est en effet une question centrale. Nous le voyons déjà en matière de droit au déréférencement et de droit à la protection des données personnelles. Les conceptions de la liberté d’expression varient. Les plateformes en ligne ont une interprétation autonome et globale de la liberté d’expression, qui répond à des critères différents des nôtres. Il n’est pas prévu que le DSA définisse une liste des propos illégaux. Au regard de l’état de son droit, chaque État membre va être amené à définir le caractère illicite de certains propos. Nous faisons donc face à un risque d’éclatement ou de fragmentation de la manière dont sera apprécié le caractère illicite de certains propos. Avec un mécanisme comme le DSA instituant la compétence du prestataire en la matière, il y a un risque que l’appréciation des propos varie en fonction des opérateurs.

M. Philippe Latombe, rapporteur. Le RGPD a mis en place un fonctionnement dans lequel toutes les autorités de contrôle nationales de type CNIL travaillent ensemble sous la direction d’un chef de file. Le DSA, lui, ne prévoit pas de tel mécanisme. Chaque pays conduira donc sa propre interprétation ?

Pr Thibault Douville. On peut imaginer une coopération entre les autorités de contrôle – cela est dans la logique de l’instrument. Mais effectivement, le texte ne prévoit pas de mécanisme instituant une autorité de contrôle chef de file avec un mécanisme de règlement des conflits entre autorités (dans le RGPD, ce rôle est confié au Comité européen). Il y a donc un vrai risque de fragmentation de la manière dont la liberté d’expression est appréciée dans l’Union européenne, ainsi qu’un risque de définition variable des contenus illicites, au sens des conditions générales d’utilisation des acteurs.

En revanche, il ne faut pas oublier que la Charte des droits fondamentaux promeut la liberté d’expression et garantit la protection de la vie privée et des données à caractère personnel. Les autorités nationales s’inspireront naturellement tant de la jurisprudence de la Cour de justice que de celle de la Cour européenne des droits de l’Homme. Cet acquis apportera quelques garanties dans la mise en œuvre de ces mécanismes.

M. Philippe Latombe, rapporteur. Les conditions générales d’utilisateurs ne sont pas spécifiquement visées dans le DSA. Ne devrions-nous pas récupérer de la souveraineté sur ce sujet ? Il s’agit de réglementations privées s’appliquant à l’ensemble des utilisateurs. Les États n’ont-ils pas le devoir de s’y intéresser et de les réguler ?

Pr Thibault Douville. Le DSA ne prévoit en effet pas l’encadrement des conditions générales d’utilisation, au-delà d’une exigence de transparence et de la nécessité de préserver la liberté d’expression – cela demeure très vague.

À titre individuel, les utilisateurs pourront toujours se prévaloir d’une atteinte à leur liberté d’expression résultant de l’application des conditions générales d’utilisation. On peut imaginer que certaines conditions générales d’utilisation prohibant certains propos soient contraires à la liberté d’expression : la clause pourrait alors être déclarée illicite car contraire à l’ordre public, et frappée de nullité partielle.

À titre plus général, est-il possible d’imaginer un mécanisme de contrôle des conditions générales d’utilisation ? On pourrait dresser un parallèle avec le mécanisme de contrôle des clauses abusives en droit de la consommation. Il pourrait être intéressant d’intégrer dans le DSA un mécanisme similaire de contrôle visant à encadrer ou à limiter la liberté d’expression sur les plateformes, afin de déterminer les frontières du licite et de l’illicite dans ces clauses. Cela est tout à fait imaginable. En la matière, le mécanisme de contrôle des clauses abusives est un bon exemple qu’il serait possible de dupliquer.

Le DGA constitue une proposition très intéressante qui vise à faciliter le partage des données. Le texte considère que les données constituent une infrastructure qu’il est possible et souhaitable de mobiliser pour différents usages et en vue de différentes finalités. Le DGA propose donc la mise en place de services de partage des données à travers les data hubs. La difficulté de ces plateformes est la confiance des utilisateurs, aussi bien ceux détenant les données que ceux qui pourraient les réutiliser, à la fois, quant aux jeux de données et à la protection du secret et aux finalités de la réutilisation. L’instrument européen cherche à répondre à cet enjeu de confiance. Il promeut certains services nouveaux, comme la mise à disposition de données à caractère personnel en faveur de réutilisateurs ou la mise en place de services de coopératives de données.

Au-delà de son affirmation de principe, très intéressante, beaucoup de questions se posent. Le partage des données demeure facultatif et volontaire. La question de la qualité des données partagées se pose : nous avons besoin d’un référentiel en matière de fraîcheur, de format, de contenu et des finalités de réutilisation des données. Les data hubs mis en place ne sont pas toujours une réussite : il demeure un écart entre l’affirmation politique et économique de la création d’un data hub et les réutilisations effectives de données. Il n’est pas certain, pour l’heure, que les data hubs aient trouvé leur public.

Je relève un constat final intéressant : les acteurs concurrents de l'État (les GAFAM et les BATX) collectent des données et les conservent pour améliorer leurs services et dégager de nouvelles connaissances. L’état du droit de l’Union, en revanche, ne va pas dans le sens d’une affirmation du partage des données. Par exemple, le Règlement européen Platform to business de 2019 vise à rétablir l’équilibre entre plateformes et entreprises utilisatrices et pose une exigence de transparence, quant au partage de données, en faveur des utilisateurs. On peut donc se poser la question de savoir si la simple mise en place d’un cadre de confiance pour le partage des données est suffisante afin de tirer parti des données collectées. Il pourrait être important également de diffuser une culture de la donnée à destination des acteurs économiques et des citoyens, afin de favoriser l’utilisation des données et de développer des solutions techniques qui permettent leur valorisation – celles-ci ne sont pas forcément disponibles actuellement.

Le texte est donc intéressant pour le cadre de confiance apporté, mais je ne suis pas certain qu’il réussira à atteindre son objectif qui est de favoriser la mise en place d’une économie de la donnée.

M. Philippe Latombe, rapporteur. Le texte ne réussira pas à atteindre son objectif car vous pensez qu’il n’apporte pas assez de confiance ?

Pr Thibault Douville. Cela n’est pas forcément dû à la confiance. L’instrument du data hub est intéressant, mais ce qui pose difficulté est de savoir pourquoi des détenteurs de données les mettraient à disposition de réutilisateurs. Dans quel but le feraient-ils ? Pourquoi des personnes mettraient-elles à disposition leurs données à caractère personnel ? Dans quel but le feraient-elles ? Il n’est pas certain que l’offre corresponde à la demande. Imaginons par exemple qu’un industriel récolte des données à l’occasion de sa production et qu’il cherche à les mettre à disposition d’autres acteurs. Quels autres acteurs seraient intéressés ? Il se pose un problème de correspondance entre collecteurs de données, d’une part, et réutilisateurs de données, d’autre part.

S’agissant de l’économie de la donnée, la plupart des transferts de données à caractère onéreux interviennent, aujourd'hui, dans le cas d’activités commerciales publicitaires. Il y a un alignement des intérêts des collecteurs de données et des réutilisateurs en la matière. Du point de vue industriel, cela est plus difficilement le cas. Je ne sais pas si mettre en place des plateformes de confiance, mettant en relation des collecteurs et des réutilisateurs, est la solution pour faciliter la réutilisation des données. Au-delà de l’instrument, se pose la question du marché : il existe un problème de marché et de circuit de la donnée.

M. Philippe Latombe, rapporteur. Quels sont les sujets juridiques auxquels nous devrions nous intéresser maintenant au regard des nouvelles technologies émergentes ? Je pense notamment à l’intelligence artificielle ou au quantique. En ce qui concerne l’intelligence artificielle, par exemple, des questions se posent sur la propriété intellectuelle d’algorithmes produits par l’intelligence artificielle. Devons-nous dès maintenant créer un cadre, ou devrons-nous nous adapter au fur et à mesure des avancées technologiques ?

Pr Thibault Douville. C’est une question fondamentale. Je me permettrai, pour débuter, un parallèle avec la blockchain. Il y a eu, en matière de blockchain, une volonté politique très forte de consacrer un cadre juridique, afin de favoriser l’émergence de la blockchain et de servir de modèle à l’échelle de l’Union européenne. Aujourd'hui, on se rend compte que le cadre mis en place a favorisé des initiatives, qui sont bloquées pour des raisons réglementaires, notamment de certifications. Nous avons assisté à un mouvement de mobilisation des énergies pour s’emparer de ces outils, et, aujourd'hui, un ralentissement en raison de contraintes réglementaires.

Le fait d’adopter des normes permet-il vraiment de faire émerger des initiatives et de prendre de l’avance ? Cela est vraiment discutable. Nous pouvons partir du principe que le premier cadre défini permet de servir de modèle, d’asseoir la confiance des utilisateurs et de favoriser l’investissement – cela est vrai : cela a été le cas pour l’utilisation de la blockchain en matière financière. Inversement, la mise en place d’un cadre juridique est un frein pour des acteurs qui sont encore à la recherche de solutions techniques.

L’intelligence artificielle reste, pour l’heure, des algorithmes sous maîtrise humaine. La question des créations peut trouver une réponse sur le fondement du droit actuel de la propriété intellectuelle ou par d’autres mécanismes contractuels. Je ne sais donc pas si la mise en place d’un cadre juridique est le meilleur moyen d’encourager les initiatives en la matière. Il demeure cependant des questions importantes sur lesquelles le législateur pourrait se pencher, comme la mise en place d’un cadre pour l’audit des algorithmes ou la transparence des algorithmes. Cette question très intéressante n’est pas réglée et mériterait de l’être. S’il s’agit d’adopter un texte pour mettre en place des règles très générales sur l’intelligence artificielle, la question de la pertinence de ce cadre se pose.

En matière de souveraineté juridique, une question actuelle pose difficulté : il s’agit de l’identité numérique. Je ne comprends pas que nous ne disposions pas de moyens d’identification électronique, que l'État ne se réapproprie pas l’identité électronique, que l’identité numérique ne soit pas ouverte aux fournisseurs de services afin de favoriser son adoption, que l’on ne se saisisse pas de ce moyen pour opérer une transformation de l'État et des services publics permettant le déploiement de services de confiance, comme la signature électronique qualifiée, l’horodatage qualifié, la lettre recommandée électronique qualifiée – sous réserve évidemment de la protection des personnes exclues du numérique.

Parmi les actions concrètes immédiates, l’identité numérique est à mes yeux une clé de la transformation numérique de l'État et de la souveraineté de l'État. L’État est le détenteur naturel de l’identité de tous ses concitoyens : il a le monopole de l’émission des titres d’identité. Ce sujet est au croisement des dispositions législatives, réglementaires et de l’investissement public. Le déploiement d’une identité numérique étatique permettrait d’opérer une transformation de l'État en mettant le citoyen au cœur de la transmission de ses données entre administrations. Ceci apporterait aux citoyens une plus grande confiance dans le déploiement du numérique et permettrait de développer de nouvelles technologies : le recours au deep pour les services financiers, par exemple. Ce sujet est urgent à mes yeux.

Votre mission d’information s’intéresse principalement aux usages et aux services. Il pourrait être intéressant, pour le législateur, de s’intéresser à l’infrastructure. Il s’agit de se demander si l’infrastructure numérique n’a pas vocation à relever, dans une certaine mesure, de services publics. Cela concerne l’hébergement de données – avec des garanties d’indépendance, par exemple – et les réseaux. L’ouvrage récemment publié par Thibault Verbiest et Jonathan J. Attia, « Un nouvel Internet est-il possible ? » raisonne sur la couche de l’infrastructure. Il propose d’intégrer à la norme des protocoles Internet TCP/IP de nouvelles fonctionnalités d’identification, de certification de contenus, de transferts de données, qui permettraient à l'État et au citoyen de retrouver une certaine maîtrise sur leurs usages. Cette approche a été peu développée jusqu’à présent. Les directives européennes s’attachent davantage à réguler les usages ou le marché.

M. Philippe Latombe, rapporteur. Notre mission d’information ouvrira une séquence pour traiter du sujet de l’identité numérique. Mme Christine Hennion et M.Jean-Michel Mis ont déjà remis un rapport à ce sujet. Leurs recommandations n’ont pas été mises en œuvre.

Pr Thibault Douville. Ce rapport formulait d’excellentes propositions. Nous disposons de France Connect Plus et une notification à la Commission devrait en principe intervenir cet été. La question est vraiment celle de l’ouverture du système à des fournisseurs de services privés pour permettre au citoyen de s’en emparer. Une vraie communication doit être faite à ce sujet.

M. Philippe Latombe, rapporteur. En ce qui concerne la blockchain, vous avez évoqué la partie financière et la volonté marquée dans la loi relative à la croissance et la transformation des entreprises, dite loi PACTE, d’avancer à ce sujet. La réglementation par décret a, par la suite, bloqué les intermédiaires financiers. Mais la blockchain permet aussi l’horodatage et l’inscription au registre. Certains pays sont très en avance et ont adopté des réglementations internes pour donner une force probante à la blockchain. Où en est la France et quelles mesures devons-nous adopter en urgence ?

Pr Thibault Douville. Un rapport et plusieurs propositions parlementaires sont intervenus à ce sujet. Votre collègue, M. Jean-Michel Mis, avait proposé, à l’occasion de la loi PACTE, d’introduire dans le code civil une disposition visant à donner une force probante aux enregistrements sur une blockchain.

Je formule à ce sujet plusieurs remarques. Le déploiement de la technologie de la blockchain demeure limité en dehors des cryptomonnaies ou des actifs numériques. Cela étonne, dès lors que la blockchain est connue et commence à être maîtrisée par tous. Du point de vue des usages, la blockchain pose la question de la conservation de l’information, de son intégrité et de sa datation. Elle ouvre la possibilité de la digitalisation de l’activité contractuelle par les smart contracts.

En ce qui concerne la force probante, la consécration d’une forme d’intégrité des données pourrait être intéressante. Le code civil permet d’ores et déjà d’utiliser une signature électronique avancée qui permet de garantir l’identité du signataire et de faire le lien entre la signature et l’acte. Il est possible à des prestataires de services de confiance de combiner leurs services avec des services de blockchain privés. La question de la consécration de la force probante sur des blockchains publiques se pose : elle pourrait être intéressante, au moins s’agissant d’une présomption quant à la datation de l’enregistrement et quant à l’intégrité de l’information, mais non une présomption quant à l’identité de celui ou celle ayant enregistré l’information – car cet élément ne peut pas faire l’objet d’un contrôle s’agissant d’une blockchain publique, sauf si un intermédiaire intervient pour délivrer des clés d’identification.

Il pourrait être intéressant de réfléchir à l’intégration d’un régime de smart contracts. L’autonomisation d’un certain nombre de contrats a vocation à intervenir, s’agissant des clauses contractuelles pouvant faire l’objet d’une mise en œuvre automatique, comme, par exemple, les conditions suspensives d’obtention d’un prêt. Le smart contract ne serait-il alors qu’une déclinaison de clauses contractuelles dans la blockchain, ou peut-on imaginer un contrat entièrement codé ? Cette seconde option poserait des questions de transparence, de compréhension par les parties et d’expression du consentement par les parties. Dans un premier temps, on pourrait imaginer la consécration de l’utilisation de smart contracts, c'est-à-dire d’exécution automatique de contrats sur une blockchain. Cela permettrait de lever un certain nombre d’incertitudes quant à l’inexécution éventuelle du contrat, mais pose, dans le même temps, des problèmes en ce qui concerne sa suspension éventuelle. Cela soulève beaucoup de questions qui mériteraient une vraie réflexion.

Le prochain congrès annuel des notaires aura pour thème l’homme, le numérique et le droit. Les notaires proposeront notamment un premier clausier de smart contracts, sur des opérations simples (conditions suspensives, terme d’un contrat, paiement d’une somme d’argent), qui ne requièrent pas d’information ou d’exécution extérieure de la part d’une personne. Cela pose une première brique de réflexion intéressante.

En France, en ce qui concerne les faits juridiques, un enregistrement sur une blockchain peut parfaitement être invoqué devant une juridiction, en vertu du principe de non-discrimination des documents électroniques instauré par le Règlement européen eIDAS. Une révision du Règlement eIDAS est envisagée, notamment pour y intégrer les blockchains. Jusqu’à présent, le Règlement eIDAS traite de l’identification électronique et des services de confiance, qu’il envisage de manière centralisée. Il est envisagé d’intégrer la blockchain dans ce Règlement : cela poserait davantage de questions pour les blockchains publiques que pour les blockchains privées.

En France, contrairement à la Belgique, nous n’avons pas profité de l’adaptation du droit français au Règlement eIDAS pour intégrer un statut des prestataires de confiance ou des tiers de confiance numériques. Il pourrait être intéressant de le faire. J’en veux pour exemple la consécration du coffre-fort numérique comme service de confiance en France. Le pouvoir réglementaire n’a pas indiqué qui peut proposer un service de coffre-fort numérique et quel est son statut. Il pourrait être intéressant de consacrer un régime général, peut-être dans le code de commerce, de l’activité de services de confiance en ligne. Cette activité pourrait être entendue soit de manière restrictive (c'est-à-dire tous les services de confiance au sens du Règlement eIDAS ou ajoutés par le législateur interne), ou bien plus largement : le tiers de confiance pourrait être celui qui propose des services de confiance ou la certification d’information par voie électronique. Cela peut être intéressant à l’occasion du déploiement des blockchain qui proposent des services de conservation d’actifs numériques, en rattachant les prestataires de services d’actifs numériques à cette catégorie des tiers de confiance.

Cela ferait apparaître un acteur qui bénéficierait d’un statut sur lequel le législateur pourrait s’appuyer pour de nouveaux usages à consacrer par la suite : des garanties financières de responsabilité, de respect des données à caractère personnel, de cybersécurité, qui seraient variables selon la qualité du tiers de confiance. On pourrait par exemple imaginer que les notaires puissent être tiers de confiance pour la certification et l’authentification d’information. On pourrait également imaginer que les prestataires de services qualifiés au sens d’eIDAS bénéficient de ce statut pour les services donnés. Cela permettrait d’agréger un certain nombre d’acteurs sous une qualification unique. Le législateur pourrait ensuite consacrer de nouveaux services de confiance se rattachant à cette catégorie de tiers de confiance bénéficiant d’un régime unitaire.

M. Philippe Latombe, rapporteur. Vous ne préconisez pas de créer une profession juridique réglementée spécialisée ? D’autres pays européens l’ont fait.

Pr Thibault Douville. Derrière la notion de « confiance en ligne » se cache une multitude de services possibles. Il existe les services de confiance au sens classique, c'est-à-dire au sens du règlement eIDAS. La Poste, dans le cadre de la délivrance de moyens d’identification électroniques, exerce, elle aussi, une activité de confiance. Ce service de confiance de vérification d’identité n’est pas consacré par le législateur – il est rattaché à un référentiel de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Pour permettre le déploiement des smart contracts, les notaires pourraient eux aussi exercer une activité d’authentification d’information en ligne. Il serait donc intéressant de disposer d’un statut unique de prestataire de services de confiance, dont les titulaires pourraient être habilités à proposer un service d’authentification de documents, aussi bien que de vérification d’identité. Cette catégorie a vocation à être adaptable en fonction du service de confiance proposé par les différents professionnels.

En consacrant la notion de prestataire de services de confiance ou de tiers de confiance, on pourrait associer à cette qualification un ensemble d’obligations communes de transparence, de responsabilité, de certification. Cette qualification bénéficierait de l’ensemble de l’acquis interne et européen, tout en permettant d’ouvrir de nouveaux usages par la suite. Un service de confiance d’authentification de documents est fondamental pour le déploiement des blockchain : il permettrait d’ajouter une présomption d’intégrité et de validité des informations enregistrées sur une chaîne de bloc. Nous avons besoin d’une catégorie.

M. Philippe Latombe, rapporteur. L’État travaille à sa numérisation et a besoin de plus en plus de données. Pour le contrôle fiscal par exemple, Bercy a souhaité pouvoir aspirer les données des réseaux sociaux. À l’occasion de l’examen du projet de loi sur la sécurité globale, la question du stockage des images filmées par les drones a également été débattue. Pensez-vous que l'État a aujourd'hui une suffisante culture de la donnée ?

Pr Thibault Douville. C’est une question difficile. Tout dépend des ministères et des services concernés. L’État mène une politique volontaire d’open data – c'est-à-dire d’ouverture des données – depuis bientôt vingt ans et cela commence à porter ses fruits. Un service public de la donnée a été créé et l’on constate aujourd'hui la mise à disposition d’un certain nombre de bases de données.

Votre question porte peut-être davantage sur les données que l'État collecte et traite dans ses activités. Ces données sont-elles valorisées et pourraient-elles l’être davantage ? Une récente initiative du ministère de la justice donne des clés de compréhension à ce sujet. Le décret DataJust de mars 2020 vise à mettre en place un traitement automatisé de données à caractère personnel. Un algorithme, établi à partir de décisions judiciaires, permet, par exemple, d’établir un barème d’indemnisations en matière de dommages corporels, de faire de la prospective et de l’analyse de moyens des juridictions, d’informer les justiciables concernant leurs droits et, potentiellement, l’indemnisation à laquelle ils peuvent prétendre. Cela favoriserait la mise en place de mécanismes de règlement extrajudiciaire des litiges. Cette initiative du ministère de la justice consiste à valoriser des données existantes, avec un objectif d’ordre à la fois opérationnel, prospectif, d’information et de pédagogie auprès des citoyens.

Ce modèle peut être dupliqué. La prospective et l’analyse de données peuvent, évidemment, être utiles à l'État – l'État le fait d’ailleurs déjà dans certains ministères et a vocation à le faire davantage. Cette initiative est également le moyen, pour l'État, de garder la main sur ses données et d’éviter que des acteurs privés ne s’en emparent. Les legal tech, par exemple, développent leurs activités sur des données judicaires : par son initiative, le ministère de la justice propose un service étatique et garde ainsi la main sur ses données. L’utilisation et la valorisation des données sont également un moyen de favoriser la confiance. La crise du COVID a montré que l’ouverture des données sanitaires était un très bon moyen de donner aux citoyens une prise sur l’évolution de la situation sanitaire. Plusieurs cas de réutilisation de données ouvertes par l'État ont ainsi été salués.

Les moyens posent problème dans la valorisation de la donnée. Nous en sommes toujours là. Nous avons créé le Health Data Hub ; il aurait été possible de prévoir une modernisation et une uniformisation des systèmes d’information des hôpitaux pour permettre une valorisation des données stockées localement, mais la difficulté est l’éclatement des suites logicielles utilisées dans les différents services des hôpitaux. En matière judiciaire, la même difficulté se pose : l’absence de rénovation du parc informatique et l’absence de matériel suffisant et à jour bloquent le développement de nouveaux usages. La mise à disposition de l’open data des données en matière judiciaire est aujourd'hui bloquée par la constitution de bases de données progressives. Nous sommes confrontés à un vrai problème d’investissement dans les politiques numériques, ainsi que de normalisation, d’uniformisation et de rénovation numérique de l'État. Cela bloque un certain nombre d’initiatives que l'État pourrait lancer et cela est dommage.

M. Philippe Latombe, rapporteur. La culture de la protection de la donnée fait-elle partie de la culture de l'État, ou l'État doit-il l’acquérir ? Avez-vous des recommandations à partager en matière de protection des données ?

Pr Thibault Douville. L’État est actif en matière de protection des données. La loi de programmation militaire 2013-2019 a été, par exemple, la première à créer la catégorie des opérateurs d’importance vitale pour protéger les systèmes d’information et les données. L’État est par ailleurs actif par le cadre juridique mis en place, par exemple, concernant la sécurité des données de santé qui font l’objet d’un hébergement. Il existe une vraie politique étatique en matière de protection des données. De ce point de vue, il me semble que l'État est assez proactif, aussi bien en matière de protection des données que de cybersécurité.

Il est plus surprenant peut-être de constater la défiance que les citoyens peuvent entretenir à l’égard de l'État quant à la manière dont il traite les données et aux finalités poursuivies par ces traitements. Le projet Alicem en est un exemple concret : le traitement de données visait à permettre la création d’un moyen d’identification électronique sur un smartphone. Il a provoqué des réactions assez vives en raison des risques que le système poserait quant à la protection des données à caractère personnel, notamment en raison du stockage centralisé d’un certain nombre de données. L’État devrait peut-être mettre en œuvre une politique pour minimiser les données traitées afin de favoriser la confiance des citoyens. Était-il par exemple nécessaire, dans le projet Alicem, de prévoir un stockage centralisé des données à des fins d’authentification compte tenu des usages possibles du moyen d’identification électronique ? L’État devrait peut-être développer une politique de minimisation des données pour favoriser la confiance des citoyens. Il me semble que la quantité ou le volume des données traitées, par l'État, peut créer une difficulté pour les citoyens. La meilleure protection des données est la minimisation. La meilleure anticipation du risque cyber est la minimisation des données traitées.

La collecte massive des données génère un risque. Il est tout à fait possible de modifier, par voie réglementaire ou législative, la finalité de l’utilisation des données pour transformer l’objet du traitement. C’est en cela que le raisonnement sur la finalité du traitement n’est pas forcément satisfaisant à lui seul. Une mise en œuvre du principe de minimisation des données constitue une vraie protection complémentaire des droits et libertés. La minimisation constituait le principe de base du RGPD, et l’on se focalise aujourd'hui davantage sur les finalités poursuivies que sur la minimisation des données.

La transformation numérique de l'État est un point fondamental en ce qui concerne la souveraineté. La place de l'État dans l’environnement numérique a vocation à se renforcer : l'État est très présent hors numérique, mais quelle est sa place dans l’environnement numérique ? Il y a toute sa place. Pour cela, l’État a certainement vocation à remettre le citoyen au cœur de ses données et au cœur de son identité ainsi qu’à minimiser les données traitées, afin de redonner une certaine prise au citoyen sur l’activité de l'État en matière numérique et à lui redonner confiance. Il est aberrant que les citoyens aient, en France, davantage confiance en Facebook ou Google qu’en l'État pour traiter leurs données.

M. Philippe Latombe, rapporteur. Y a-t-il des sujets que nous n’avons pas abordés et que vous souhaitez évoquer ?

Pr Thibault Douville. Nous avons, je crois, couvert l’essentiel des questions. Je vous enverrai une réponse écrite sur le périmètre d’application du Cloud Act aux filiales d’entreprises américaines.


—  1  —

Audition, ouverte à la presse, de M. Julien Nocetti, docteur en sciences politiques, chercheur associé à l’institut français des relations internationales (Ifri) et enseignant‑chercheur en relations internationales et études stratégiques aux Écoles de Saint-Cyr Coëtquidan
(11 mars 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Pour évoquer les enjeux géopolitiques de la souveraineté numérique, nous avons le plaisir de recevoir M. Julien Nocetti, docteur en sciences politiques, chercheur associé à l’institut français des relations internationales (Ifri) et au centre Géopolitique de la Datasphère (GEODE), qui vient d’ailleurs d’obtenir le label d’excellence du ministère des Armées. Enseignant les relations internationales et les enjeux numériques aux Écoles militaires de Saint-Cyr Coëtquidan, ses travaux portent notamment sur la diplomatie du numérique et l’intelligence artificielle, sur l’évolution de la cyber‑conflictualité – avec une expertise de longue date sur la Russie – et sur les rapports entre États et grandes plateformes du numérique. Sur l’ensemble de ces sujets, M. Nocetti participe régulièrement à des conférences internationales et multiplie les interventions dans les médias français et étrangers.

M. Philippe Latombe, rapporteur. Je vous interrogerai sur trois points.

Quel sens peut revêtir la notion de souveraineté numérique, abordée sous l’angle géopolitique et diplomatique ? Nous avons échangé à de multiples reprises –– c’est une question-type que je pose régulièrement en début d’audition – sur ce concept, que l’on peut définir comme une forme d’autonomie stratégique ou décisionnelle. J’aimerais donc savoir comment vous appréhendez cette notion et comment elle contribue à remodeler les relations internationales.

Le deuxième point se rapporte aux enjeux de cyberdéfense et de cybersécurité et à leurs conséquences géopolitiques. Comme vous le savez, ce sujet est prégnant au niveau national, comme en témoignent les nombreuses cyberattaques relayées par la presse, mais également au niveau international, comme l’affaire SolarWinds. La Commission européenne a défini une stratégie en matière de cybersécurité, qui doit soutenir le développement de capacités de cyberdéfense et l’établissement d’une politique internationale de cyberespace ouverte et cohérente. La France et l’Europe sont-elles prêtes à faire face à l’importance croissante de ces enjeux ? Comment percevez-vous les nombreux projets de régulation du numérique portés au niveau européen, comme les directives Digital Services Act (DSA), Digital Markets Act (DMA) ou Data Governance Act (DGA) ?

Enfin, en ce qui concerne la diplomatie numérique française et européenne, notre mission d’information a auditionné l’ambassadeur pour le Numérique, M. Henri Verdier, ainsi que l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), qui participe aux travaux des organismes internationaux traitant de ces sujets. La France se distingue-t-elle des autres pays en confiant la coordination de la défense de ses intérêts à un acteur dédié ? Plus globalement, comment peut-on qualifier le positionnement de la diplomatie numérique française ?

M. Julien Nocetti, docteur en sciences politiques, chercheur associé à l’institut français des relations internationales (Ifri). Je vous remercie de m’avoir invité à m’exprimer sur ces enjeux que vous venez d’esquisser, qui sont absolument passionnants, éminemment complexes, très évolutifs et qui mobilisent votre mission d’information. En guise de préambule, je me permets de préciser que je dirige aussi, depuis peu, la chaire Cybersécurité de Rennes School of Business, au sein de l’une des plaques territoriales de la cybersécurité en France.

Mon propos liminaire reprendra naturellement les questions que vous m’avez adressées. Il sera nécessairement partiel, eu égard à la diversité de ces grands enjeux de souveraineté numérique, quitte à créer une forme de frustration qui, je l’espère, sera aussi réduite que possible.

 En lien avec votre première interrogation, je débuterai par une série de constats relatifs à cette souveraineté numérique – qui est ardemment souhaitée et rarement satisfaisante pour nous en Europe – et à ses enjeux, avant de m’attarder sur des enjeux plus immédiats et plus prégnants.

D’abord, le concept de souveraineté numérique n’a pas émergé partout au même moment. En Europe, et en France en particulier, le lien entre la souveraineté des États et l’ère de foisonnement numérique a commencé à être évoqué dès la fin des années 2000. Sans surprise, nous constatons une montée en puissance de ce concept à l’occasion des révélations d’Edward Snowden, avant que l’emprise des grandes plateformes américaines du numérique ne vienne nous révéler crûment, et de manière progressive, nos propres failles en matière de souveraineté.

La souveraineté numérique n’est pas toujours pareillement comprise – permettez-moi cette litote – dans les différentes zones du globe, ce qui induit d’y prêter un regard plus global et plus géopolitique. Des États comme la Chine et la Russie – mais non eux seuls – ont pensé, de très longue date, la souveraineté numérique sous le prisme de la souveraineté de l’information, avec l’idée que les contenus produits et échangés sur le web comptaient tout autant, sinon plus, que l’infrastructure physique. Cette différence peut sans doute nous paraître « lointaine » car relevant d’une autre culture politique, mais il s’agit précisément du biais que nous devons éviter.

J’en arrive à un sujet que nous avons peut-être occulté ces derniers temps. Les grandes plateformes du web, que nous connaissons tous, ont été conçues pour défaire l’autoritarisme et défendre la démocratie. Pourtant, nous vivons aujourd’hui une séquence où la contrainte pesant sur le respect de la vie privée en ligne – et la tyrannie de la transparence qui peut aussi en découler – suggère une forme d’alignement progressif des pratiques de nos États démocratiques sur celles des régimes autoritaires. Je ne dresse évidemment pas des tables d’équivalence, mais cette tendance est clairement d’actualité depuis cinq ou six ans.

Dans ce contexte, le sujet de la souveraineté numérique constitue, depuis longtemps, une ligne de fracture dans la gouvernance internationale de l’espace numérique, avec des États – je les ai mentionnés – ayant pour eux le mérite de la constance de leurs positions. C’est un point que nous avons certainement sous-estimé les années précédentes, avant que ne se renforce, en Europe et en France en particulier, notre propre appareil diplomatique en matière de numérique.

Nous observons, par ailleurs, que l’enjeu de la souveraineté numérique est parfois exploité, par les États que j’ai mentionnés, à des fins stratégiques et de politique étrangère. Il est d’ailleurs frappant de relever, soit dit en passant, que certains médias russes – que nous connaissons bien depuis 2017 – n’ont aucun complexe à instrumentaliser ce sujet de la souveraineté numérique, ou plutôt l’absence de souveraineté numérique en Europe, avec en contrepoint les différents scandales d’espionnage qui ont émaillé la vie politique et stratégique européenne depuis une dizaine d’années. La souveraineté numérique est donc une thématique qui est aussi exploitée à nos propres dépens, et nous devons nécessairement prêter attention à cette dimension dans l’élaboration de doctrines et pour peser dans ce domaine.

De surcroît – c’est peut-être un lieu commun –, cette thématique est devenue indissociable de l’effet systémique produit, d’abord, par les géants américains Google, Apple, Facebook, Amazon et Microsoft (GAFAM), mais également par les géants chinois Baidu, Alibaba, Tencent et Xiaomi (BATX). Nous connaissons bien le phénomène de grignotage – certains diraient de dépeçage, mais je n’irais peut-être pas jusque-là aujourd’hui – des prérogatives souveraines des États par ces acteurs. Je n’insisterai pas outre mesure sur ce point, mais je citerai quelques exemples en guise d’illustration. À l’heure actuelle, le meilleur cadastre au monde est l’outil Google Maps. Pour sa part, Facebook détient probablement plus de données sur ses utilisateurs que n’en possédera jamais l’état-civil. Sur le plan monétaire, le projet Libra porté par Facebook pourrait, à terme, prendre de vitesse l’Union africaine dans son ambition de relier les États africains par le biais d’une monnaie unique. En matière de sécurité, de plus en plus de géants du numérique ont développé des capacités pour parer aux cyberattaques. Enfin, dans une perspective plus diplomatique, certains de ces géants aiment à se comparer aux acteurs diplomatiques traditionnels. Je ne mentionnerai aucun nom, mais ce phénomène est clairement visible sur la scène internationale.

Il me semble qu’il existe une forme de contradiction entre le phénomène de territorialisation du cyberespace, qui est renforcé par des considérations de souveraineté, et la position des GAFAM en tant que signes hors-sol de la puissance américaine. Ce point important n’est pas toujours bien mesuré en Europe occidentale, et plus particulièrement en France. Notre manière de penser les relations internationales et la géopolitique repose sur l’idée d’espace, de frontière, de territoire. Pourtant, nous assistons aujourd’hui à un phénomène de déspatialisation, qui dépasse le numérique, mais qui le concerne très nettement. Il existe déjà une réalité du rapport de pouvoir dématérialisé, qu’il est très difficile de juridiciser. Toutefois, les dirigeants américains ont eu le génie d’être les premiers à l’appréhender. Avant même la chute du mur de Berlin en 1989, ils ont compris qu’ils allaient perdre le contrôle effectif de l’espace, mais qu’ils pourraient exercer leur pouvoir et leur puissance en maîtrisant les signes hors-sol. Nous en avons vu la première manifestation dans les révolutions monétaristes et financières, dont il n’est pas question aujourd’hui, puis dans le développement du numérique, d’Internet et de l’économie globale.

L’exercice du pouvoir américain – et la mondialisation qui en découle depuis plusieurs décennies – se caractérise également par l’existence de courts-circuits, sur lesquels se fonde, en grande partie, cette puissance numérique américaine. Dans cette logique, la construction originelle basée sur l’espace est court-circuitée par d’autres éléments. En effet, ce pouvoir repose sur la maîtrise et le contrôle de différents signes, notamment monétaires et numériques, qui permettent aux Américains d’exercer une forme de souveraineté sur tous les autres domaines d’activité, mais aussi sur tous les autres pays. Pour maîtriser les signes, tout doit passer par le territoire américain. À cet égard, la question des données illustre parfaitement mon propos. Si vous ne deviez retenir qu’un seul chiffre, sachez que 90 % des données produites sur le continent européen transitent, à un moment, par le territoire américain. Je pense que c’est un paramètre que nous devons bien mesurer.

Au-delà du cas américain, nous devons bien appréhender l’évolution extrêmement rapide de cette notion de souveraineté numérique et des enjeux qu’elle charrie. En 2021, la souveraineté numérique est très différente de la souveraineté numérique que nous commencions à appréhender en 2010 ou en 2014, un an après l’affaire Edward Snowden. À l’époque, lorsque l’on évoquait la notion de souveraineté numérique, les débats se focalisaient essentiellement sur une seule question : qui contrôle Internet ? Aujourd’hui, les enjeux sont extrêmement différents, puisque la question dépasse le champ numérique traditionnel – infrastructures, Internet, web, etc. Par conséquent, nous devons urgemment élargir notre propre focale en y incluant les technologies critiques. L’intelligence artificielle, la 5G et l’informatique quantique ne peuvent pas être occultées de notre conception de la souveraineté numérique, tout comme l’enjeu de l’approvisionnement en composants critiques, sur lequel je reviendrai dans quelques instants. Je pense également à la maîtrise d’algorithmes sensibles. Ces problématiques sont d’une très grande complexité lorsqu’elles s’intercombinent. Je vous laisse donc imaginer à quel point toute ambition de souveraineté numérique est vertigineuse.

Je viens d’évoquer un point particulier, sur lequel j’apporterai quelques développements, et auquel les médias prêtent de plus en plus d’attention. Il s’agit des semi-conducteurs. Cet aspect a été occulté durant des années, avant d’animer l’actualité à la faveur ou à la défaveur des tensions sino-américaines et des différents décrets adoptés par Donald Trump à partir de mai 2019. Les semi-conducteurs sont aujourd’hui absolument fondamentaux et centraux dans ces ambitions de souveraineté numérique. Le sujet n’est pas nouveau, mais il s’est amplifié à mesure de notre dépendance accrue à ces composants, et à mesure que nous prenions conscience de la complexité des chaînes de valeur globales des semi-conducteurs. Nous dépendons d’acteurs américains pour leur conception et leur design, d’acteurs taïwanais pour la fonderie et leur production physique, mais aussi d’acteurs chinois, britanniques ou singapouriens pour d’autres volets de ces chaînes de valeur. Ces composants technologiques revêtent logiquement une dimension géopolitique extrêmement forte, ainsi qu’une dimension économique majeure au regard de leur prolifération et de l’industrie très globalisée qui les entoure. L’enjeu est également stratégique. En effet, si nous avons surtout tendance à aborder la dimension civile et commerciale de ces semi-conducteurs, qui innervent nos smartphones et autres produits informatiques, nous ne devons pas en oublier les enjeux critiques en termes de supériorité militaire pour les décennies à venir.

La question des semi-conducteurs induit donc des enjeux de souveraineté numérique et technologique extrêmement puissants. Par cet aspect, la dimension industrielle est intimement liée à la dimension géopolitique. C’est par le biais de ce composant qui paraissait initialement anodin – le semi-conducteur – que nous mesurons aujourd’hui toute la complexité et toute l’interdépendance de nos chaînes de valeur. Dans ce domaine, l’Europe dispose d’une faible marge de manœuvre, du moins pour le moment. Ses acteurs – Infineon, NXP, STMicroelectronics – demeurent relativement modestes en termes de taille. En outre, le climat stratégique autour de la 5G – dont les semi-conducteurs constituent l’ossature la plus avancée – nuit à l’homogénéité de vues entre Européens et à la prise de décision.

Comme vous l’évoquiez, l’Europe cumule des faiblesses déjà bien identifiées en matière de souveraineté numérique, qu’il s’agisse de facteurs internes ou externes. En interne, citons l’insuffisante intégration du marché numérique, les problématiques de financement de l’innovation, les divergences politiques entre États membres, etc. À l’extérieur, l’Europe s’expose de plus en plus à des stratégies de puissance prédatrices et éprouvées. J’ai déjà évoqué, dans le cas des États-Unis, une longue tradition combinant puissance financière, puissance technologique, mais aussi attraction des GAFAM – par le biais d’un écosystème extrêmement performant – et extraterritorialité du droit américain. Du côté de la Chine, la célérité et le centralisme de la prise de décision, conjugués à une absence totale de considérations éthiques en interne, expliquent pourquoi cette spécificité chinoise parvient à acquérir quelques avantages en matière stratégique, au détriment de l’Europe.

Vous avez également évoqué l’idée d’autonomie stratégique qui, à mon sens, vient s’entrechoquer avec cette notion de souveraineté numérique. Ce concept d’autonomie stratégique, extrait du champ lexical de la défense française depuis l’époque du général de Gaulle, a fait son entrée dans la politique européenne, y compris dans différents documents d’orientations stratégiques de l’Union européenne en matière de sécurité et d’affaires étrangères. Le problème est que les États membres ne soutiennent pas tous le développement d’une autonomie stratégique européenne, tandis que ses partisans ne s’accordent ni sur ce qu’elle recouvre ni sur le niveau d’ambition stratégique que l’Europe devrait acquérir et mettre en œuvre dans le domaine numérique. À cet égard, l’attitude à adopter vis-à-vis des États-Unis demeure une divergence fondamentale, tandis que les risques qu’une autonomie stratégique européenne pourrait faire peser sur les relations transatlantiques – particulièrement sur les sujets de défense – demeurent un véritable point de crispation

Le contexte actuel en matière de numérique s’avère donc assez particulier pour l’Europe. À la lecture d’une Europe perçue comme une « colonie numérique » s’oppose une approche plus nuancée mettant en avant le volontarisme de l’actuelle Commission européenne en matière de protection numérique ou d’intelligence artificielle. Nous avons d’ailleurs affaire à une Commission européenne qui se veut « géopolitique », selon les propres mots de sa présidente. Pourtant, plusieurs signaux contradictoires sont envoyés depuis quelques mois.

D’un côté, nous retrouvons l’activisme bien connu du commissaire au marché intérieur, qui se superpose d’ailleurs aux différentes initiatives du Portugal, qui préside actuellement le Conseil de l’Union européenne. Je songe notamment à différentes initiatives intéressantes relatives aux câbles sous-marins, qui font suite à des propositions en matière de cloud et de semi-conducteurs, avec un accent très marqué – j’insiste sur ce sujet – sur les infrastructures critiques. Ce point majeur témoigne bien de l’évolution de l’Europe dans son appréhension du phénomène et de sa dépendance vis-à-vis d’infrastructures maîtrisées par des puissances extérieures.

D’un autre côté, la stratégie dite « boussole numérique 2030 » récemment publiée s’avère relativement décevante. Pour être tout à fait franc, l’on n’y décèle pas, loin de là, une tonalité géopolitique faisant transparaître une réelle ambition de souveraineté numérique, même si le terme y est employé, quoiqu’à une seule reprise. Par ailleurs, d’autres déclarations et d’autres formes de rhétorique brouillent quelque peu le message de la Commission européenne. Je fais ici référence à une récente lettre ouverte adressée par la chancelière allemande et les premières ministres estonienne, finlandaise et danoise à Ursula von der Leyen, qui nous fait penser que ce concept de souveraineté numérique masque des logiques d’interdépendances devenues un véritable marqueur de notre époque, en dépit des stratégies dites « de découplage » que les États-Unis tentent d’imposer « avec force » depuis quelque temps.

Pour en revenir à votre première question relative à la définition de la souveraineté numérique, je rappellerai d’abord que beaucoup s’y sont déjà essayés, et que je ne suis donc pas certain de pouvoir y apporter une contribution fondamentalement nouvelle. Néanmoins, en lien avec cette logique d’interdépendances, la souveraineté numérique pourrait consister à pouvoir choisir nos interdépendances. Par cette formule, je sous-entends l’idée de choix, de stratégies, de moyens, de capacités, mais également l’idée que nous évoluons dans un contexte global d’interdépendances. Nous devons bien mesurer que certaines approches de la souveraineté numérique édictées ou martelées au cours de la dernière décennie ont pu parfois sembler cantonnées à des logiques nationales extrêmement réductrices, sans doute caricaturales, qui occultaient complètement le fait que notre monde demeurait extrêmement globalisé et soumis à des logiques d’interdépendances, en dépit des formes de nationalisme technologique auxquelles nous avons pu assister du côté chinois comme du côté américain.

Nous évoluons aussi dans un contexte particulier, comme je l’indiquais précédemment, de par la récente élection de Joseph Biden à la présidence des États-Unis, qui vient nécessairement trancher avec les quatre années de la présidence de Donald Trump. Le moment est sans doute paradoxal pour nous autres Européens. Cette présidence Trump, ô combien chaotique et problématique à certains égards, nous a tout de même réveillés, en nous donnant enfin l’occasion d’affronter nos propres vulnérabilités et nos propres failles dans le domaine numérique et le domaine technologique au sens large. Avec la présidence Biden, nous risquons d’en revenir à ce vieux consensus transatlantique et d’en oublier nos propres divergences vis-à-vis de certaines thématiques numériques, d’abord, sur les enjeux de fiscalité, mais aussi sur les enjeux de transferts des données, qui constituent précisément, depuis des années, l’une des pierres majeures d’achoppement entre l’Europe et les États-Unis. De la part de cette administration Biden, nous devons peut-être nous attendre à une forme de géoéconomie très brute, qui ne tranchera pas nécessairement avec la présidence Trump, mais qui sera enveloppée de multilatéralisme très poli.

Je pense à l’instant à un autre paramètre à prendre en compte sur cette thématique du numérique. Qu’il s’agisse des questions de cybersécurité, d’échanges de données, de droits de l’homme, etc., nous devons nous attendre à interagir avec des interlocuteurs américains très expérimentés. Certains d’entre eux occupaient déjà des postes à haut niveau sous la présidence de Barack Obama. Surtout, ces interlocuteurs sont extrêmement compétents. Il s’agit évidemment d’un aspect tranchant avec la présidence Trump, durant laquelle certains postes à responsabilités au sein de la haute administration américaine étaient parfois restés vacants. Aujourd’hui, ces postes sont pourvus et occupés par des individus à l’expertise extrêmement riche. Cette dimension ne doit pas être sous-estimée, du côté européen, lorsque nous cherchons à échanger avec nos alliés et à leur faire passer nos propres messages.

J’en termine sur ce propos introductif, qui m’a permis de répondre brièvement à une partie de vos questions liminaires. Comme vous le sous-entendiez, ces enjeux sont bien plus vastes. Par exemple, je n’ai pas eu l’occasion d’évoquer, dans mon propos, l’enjeu du capital humain, qui est certainement l’un des aspects les plus sous-estimés de ces enjeux de souveraineté numérique. C’est aussi en évitant la fuite des cerveaux et en formant massivement ses propres experts que l’Europe pourra s’affranchir de sa tutelle numérique. À cet égard, trois enjeux se superposent : l’enjeu de la formation, que nous venons d’évoquer ; l’enjeu de la rétention de nos cerveaux ; l’enjeu de la captation. C’est sur cet enjeu humain que la question du numérique prend une dimension quasi géopolitique, d’autant que nous l’avons trop longtemps sous-estimé, alors que les États-Unis peuvent s’enorgueillir d’une expérience extrêmement riche en la matière. Si l’Europe ambitionne de peser dans ce domaine et de s’affranchir, au moins partiellement, de ces formes de tutelle que je viens d’évoquer, elle doit nécessairement et urgemment répondre à cet enjeu de formation au long cours.

M. Philippe Latombe, rapporteur. S’agissant des semi-conducteurs et du volet matériel dans son ensemble, vous indiquiez que l’Europe était quelque peu à la traîne – en tout cas, je l’ai compris ainsi – et que les Américains avaient pris de l’avance. Pour faire écho à vos propos sur la nouvelle administration américaine, Joseph Biden a initié un grand plan sur les semi-conducteurs afin de rapatrier la production aux États-Unis, mais également pour chercher des solutions d’avenir. Est-ce à dire que les Américains ont aujourd'hui peur de l’émergence chinoise sur le marché des semi-conducteurs ? Devons-nous nous attendre à une nouvelle guerre sino-américaine sur ce segment en particulier, et considérer que les tensions avec Huawei n’étaient que les prémices de prochaines étapes conflictuelles ? Dans ce cas, comment l’Europe peut-elle s’affranchir de ce conflit pour ne pas se retrouver prise entre deux feux, autrement dit entre les États-Unis et la Chine ?

M. Julien Nocetti. Ces questions recouvrent à nouveau des enjeux éminemment politiques, dont les impacts se feront ressentir jusqu’en Europe. D’abord, il est amusant de constater que cette problématique des semi-conducteurs émerge après deux ou trois années de tensions extrêmement vives entre Américains et Chinois. À l’origine, ce sont surtout les enjeux de propriété intellectuelle et de cybersécurité qui caractérisaient ces tensions. L’intelligence artificielle s’est ensuite retrouvée au cœur de la rivalité sino-américaine, au point de cristalliser un certain nombre de peurs – notamment de déclassement – chez les Américains, eu égard à la montée en puissance de la Chine. Plus récemment, le dossier de la 5G a provoqué un regain de tensions entre les deux acteurs, avec notamment les performances internationales de la société Huawei. De ce point de vue, l’enjeu des semi-conducteurs est particulièrement intéressant. Comme je l’indiquais précédemment, cet enjeu fut très longtemps occulté, surtout par les Européens, mais aussi par les Américains, qui n’avaient peut-être pas mesuré les ambitions chinoises d’autonomisation technologique en la matière.

Sans revenir en détail sur la stratégie de Pékin, différents plans ont été annoncés par les dirigeants chinois dans le domaine des technologies et des semi-conducteurs. Le plus fameux, « Made in China 2025 », consiste à acquérir une forme de souveraineté, disons de maîtrise, sur la plupart des technologies dites critiques. Plusieurs technologies clés ont ainsi été identifiées comme extrêmement vitales pour l’avenir de la Chine. En l’occurrence, les semi-conducteurs avancés, notamment ceux intégrant de l’intelligence artificielle, sont perçus comme à l’avant-garde de ce que la Chine doit maîtriser et produire massivement. Pourtant, du côté chinois, l’objectif est loin d’être atteint. Malgré les montants faramineux parfois avancés par les autorités de Pékin, la Chine ne maîtrise pas, à ce stade, les composants les plus sophistiqués, dont la miniaturisation est poussée à son paroxysme et qui peuvent être intégrés au sein des produits et des services les plus sensibles. De ce point de vue, les Chinois affichent encore, aujourd’hui, un déficit de souveraineté.

Du côté américain, la situation est paradoxale. Certains acteurs comme Qualcomm, Apple et Intel jouissent d’une forme de leadership sur certaines parties de la chaîne de valeur des semi-conducteurs, en particulier dans leur design. En revanche, les Américains ne maîtrisent pas l’ensemble du spectre et dépendent de chaînes de valeur tout à fait globalisées, comme je l’indiquais précédemment. C’est d’ailleurs pour cette raison que le géant américain Nvidia a tenté, l’été dernier, de racheter le britannique ARM, qui est extrêmement avancé dans la construction de semi-conducteurs. L’accord a semble-t-il capoté pour diverses raisons. Néanmoins, cette tentative montre bien que les Américains sont devenus extrêmement susceptibles sur cet enjeu des semi-conducteurs et cherchent à mettre certains de leurs alliés sous pression, notamment en Asie. Je pense notamment à Taïwan, qui revient en force dans cette géopolitique des technologies, et qui héberge notamment la société TSMC, leader mondial de la fonderie et de la production de ces composants. Durant sa présidence, Donald Trump a cherché à relocaliser, sur le territoire américain, précisément en Arizona, une partie de la production de TSMC. J’ignore si l’accord sera ou non maintenu par l’administration Biden, mais force est de constater que cet enjeu fut véritablement, durant plusieurs années, au centre de l’agenda bilatéral sino-américain et des tensions géopolitiques en matière de technologies.

De son côté, l’Europe commence à mesurer l’intérêt de cet enjeu. Il est tout à fait logique, d’ailleurs, que l’actuelle présidence portugaise du Conseil de l’Union européenne l’ait inscrit dans les premières lignes de son agenda politique.

M. Philippe Latombe, rapporteur. De nombreuses cyberattaques ont été attribuées à la Russie. Depuis quelque temps, et encore très récemment, la plupart des cyberattaques sont attribuées aux Chinois. Est-ce un révélateur de leur positionnement ou de leurs oppositions géopolitiques ? Voici quelques années, les Russes avaient été mis en cause pour le virus Petya. De leur côté, les Nord-Coréens avaient été accusés d’avoir lancé des cyberattaques sur le sol américain. Très récemment, l’attaque subie par Microsoft a été attribuée à des Chinois. S’agit-il donc d’un révélateur ou d’un bon thermomètre de la géopolitique et des antagonismes caractérisant l’univers du numérique ?

M. Julien Nocetti. Il s’agit effectivement d’un révélateur extrêmement éclairant. Par le passé, les Américains avaient déjà attribué quelques attaques à la Chine. Durant la présidence de Barack Obama, ces tensions et ces attributions étaient demeurées, sinon en sourdine, du moins relativement discrètes par rapport aux attributions formulées sous la présidence de Donald Trump. Les attributions publiques constituent d’ailleurs – nous basculons dans une autre thématique – un point extrêmement sensible de cette géopolitique.

 Les Américains ne se privent absolument pas d’attribuer publiquement des cyberattaques. Au contraire, la France s’y montre plutôt réticente, pour différentes raisons, principalement parce que les capacités d’attribution reposent sur des traces techniques détectables et sur des capacités de renseignement. De fait, lorsque vous attribuez une attaque, vous révélez en partie vos propres capacités de renseignement. Nous comprenons donc les réticences de la France dans ce domaine. En revanche, les Américains appliquent une politique d’attribution publique systématique, dite du « name and shame », qui a débuté à la fin du mandat de Barack Obama, avec notamment différentes attaques attribuées à la Russie à l’occasion de la campagne présidentielle de 2016. Plus largement, les exemples nord-coréens jalonnent les présidences américaines successives. Souvenons-nous notamment de la cyberattaque ayant ciblé Sony Pictures en 2014, qui avait conduit Barack Obama à réagir publiquement à la télévision américaine pour attribuer cette attaque importante au régime de Pyongyang.

Sous l’administration Trump, les attributions publiques sont allées crescendo. Si ces attributions émanaient initialement de la Maison-Blanche, le processus d’attribution a graduellement été marqué par une forme de décentralisation. Les attributions n’émanaient plus nécessairement de Donald Trump ou de ses conseillers, mais du département de la Justice pour les mises en accusation et du département du Trésor pour les sanctions adoptées vis-à-vis de certains hackers, groupes criminels ou autres.

Avec Joseph Biden, nous devons nous attendre, malgré une volonté d’apaisement qui sera recherchée avec la Chine, à une politique du coup pour coup sur ces questions de cybersécurité, et à une stratégie de représailles systématiques contre ces velléités chinoises de tester les États-Unis. Nous le savons, les Américains sont amplement testés depuis quelque temps. Nous en avons vu la première manifestation avec l’attaque dirigée contre SolarWinds, qui fut pour partie attribuée à la Russie, tandis que certains acteurs chinois auraient également effectué quelques intrusions au sein des systèmes compromis. Je pense également à cette attaque subie par la Floride, dont les systèmes d’approvisionnement en eau auraient été compromis par l’intervention de pirates informatiques. Plus récemment, nous avons tous en tête l’attaque dirigée contre Microsoft Exchange par le biais de pirates chinois.

Aux États-Unis, cette tradition d’attributions publiques des attaques relève aussi d’une logique d’envoi de signaux : envoyer des signaux de dissuasion et/ou de coercition et empêcher que tel ou tel acteur ne se livre à des attaques répétées et plus conséquentes en termes de dégâts. S’il est probable que cette tendance se poursuive aux États-Unis, reste à savoir si cette systématisation des attributions se répercutera, à long terme, chez les alliés européens. Au Royaume-Uni, on observe depuis quelque temps une forme de mimétisme et d’alignement, avec de multiples cyberattaques attribuées à la Russie. Le reste de l’Europe est, quant à lui, marqué, sur ce plan également, par des divergences de politiques et de conceptions sur l’attribution ou la non-attribution de cyberattaques. À ce stade, aucun consensus ne semble véritablement se dégager. L’un des points fondamentaux suscitant le plus de débats est d’ailleurs l’enjeu du « hack back », ou piratage en retour, qui confère aux acteurs privés un rôle important en matière de représailles. Ce sujet ne fait absolument pas consensus et se prête parfois aux chamailleries des différents États européens au sein des enceintes de discussion communautaires.

M. Philippe Latombe, rapporteur. Si l’attribution de cyberattaques ou le fait d’y répondre s’apparente à l’envoi d’un signal, c’est bien qu’il existe une diplomatie numérique. En tout cas, cette diplomatie numérique existe assurément du côté des États-Unis, de la Russie et de la Chine. Où en est la diplomatie numérique européenne ? En France, nous disposons d’un ambassadeur pour le numérique, mais où l’Europe se situe-t-elle dans ce mouvement de plaques diplomatique ? Avons-nous une voix qui compte et une véritable diplomatie numérique ? Dans le cas contraire, comment pourrions-nous la construire ?

M. Julien Nocetti. S’agissant de la diplomatie numérique à l’échelle européenne, je resterais relativement mesuré. Bien que relevant des prérogatives du Service européen pour l’action extérieure (SEAE), ces compétences s’exercent encore aujourd’hui selon une logique géographique. En outre, ce paramètre numérique est scindé entre les différentes compétences des commissaires. Le commissaire au marché intérieur a son mot à dire sur certains aspects de diplomatie numérique, ce dont il ne se prive pas, comme en témoignent, depuis le mois de décembre, les différentes stratégies et déclarations formulées en matière de souveraineté et de réponse, vis-à-vis des États-Unis ou de la Chine. Néanmoins, le commissaire à l’innovation et le commissaire à la concurrence – bien évidemment – jouissent également de prérogatives en matière de diplomatie numérique.

Dans une logique plus diplomatique, les États membres européens conservent évidemment leurs compétences. Je relativiserai donc toute réalité ou toute consistance d’une diplomatie du numérique européenne, qui ne « fait pas le poids », pour l’instant, face aux deux acteurs américain et chinois prenant en étau l’Union européenne. Ce champ relève encore aujourd’hui des politiques nationales, avec des niveaux de maturité sans doute différents entre États européens.

M. Philippe Latombe, rapporteur. En lien avec ma précédente question, comment situez-vous les Anglais, qui ont quitté l’Union européenne ? Sur cet échiquier mondial, la petite plaque qu’est le Royaume-Uni se rapprochera-t-elle plutôt des Américains ou se maintiendra-t-elle plutôt dans notre environnement ? Je pense notamment à la protection des données, sachant que le Règlement général sur la protection des données (RGPD) ne sera plus applicable au Royaume-Uni à partir du 1er juillet 2021. Les Britanniques doivent ainsi décider, avant le mois de juin, quel modèle adopter en matière de protection des données. Conserveront-ils l’ancien modèle du RGPD ou entameront-ils une transition vers le modèle américain ? Ce sujet peut-il être source de difficultés ? Sait-on si le Royaume-Uni aurait fait des émules auprès d’États membres qui souhaiteraient se rapprocher des Américains ?

M. Julien Nocetti. Il s’agit d’une question relativement sensible. Avant le Brexit, la diplomatie numérique britannique était assez pléthorique, et le Royaume-Uni était sans doute l’acteur européen le plus consistant dans ce domaine, sans doute par mimétisme vis-à-vis du partenaire américain, mais aussi par connaissance de ces thématiques et par une plus grande maturité sur ces enjeux et sur la défense des intérêts britanniques en la matière. Cette consistance était particulièrement visible sur la plaque bruxelloise, avec des intérêts britanniques – notamment en matière de commerce et de protection des données – savamment défendus par les officiels de la Couronne, mais aussi une habileté à fonctionner en réseau avec des sociétés de conseil – ou autres – extrêmement efficaces dans la défense de ces intérêts et des approches promues par les Britanniques. Tout ne disparaîtra pas avec la transition et le départ du Royaume-Uni des instances communautaires, puisque le pouvoir britannique disposera toujours d’experts et de relais à Bruxelles.

Quoi qu’il en soit, le contexte numérique britannique est également très particulier, dans le sens où la crise de la COVID-19 a jeté une lumière assez crue sur les dépendances du Royaume-Uni en matière numérique et sur les choix de Londres vis-à-vis de la Chine. Ce dossier a suscité des débats extrêmement animés et placé le Premier ministre Boris Johnson en position parfois délicate. À l’été 2020, le Royaume-Uni a fait le choix assumé de moins chercher à s’attirer les faveurs de Pékin et contracter avec des sociétés technologiques chinoises. Mécaniquement, depuis neuf mois, l’on observe un retour vers l’allié américain, qui pourrait augurer d’un possible alignement des planètes entre Londres et Washington. D’ailleurs, avec l’élection de Joseph Biden, le discours vis-à-vis des Britanniques se voudra plus conciliant que sous la présidence de Donald Trump, durant laquelle les relations anglo-américaines étaient assez chaotiques malgré les déclarations d’amitié répétées de Donald Trump à Boris Johnson.

M. Philippe Latombe, rapporteur. S’agissant de l’espace numérique en tant que tel, les interactions et la diplomatie s’effectuent aujourd’hui dans un espace numérique ouvert. N’assistons-nous pas, progressivement, à une forme de régionalisation d’Internet ? D’un côté, les Chinois se calfeutrent derrière une muraille de Chine et entendent totalement maîtriser leur propre marché, notamment pour des raisons sociétales de contrôle de la population. D’un autre côté, les Américains sont hégémoniques sur leur marché, au point de ne laisser place à personne d’autre. Dans ce contexte où l’Europe serait le point de rencontre de ces deux grosses plaques régionales – je dirais même de ces châteaux forts – quasiment inattaquables, n’aurions-nous pas intérêt à trouver une troisième voie pour nous protéger ?

M. Julien Nocetti. C’est un point intéressant, dans la mesure où cette idée de troisième voie – sur laquelle je travaille actuellement – n’est pas nouvelle. Si l’on en retrace la généalogie, cette notion de troisième voie est surtout mise en avant depuis l’affaire Edward Snowden. À l’origine, certaines propositions politiques ont pu sembler farfelues ou décalées. En 2013, la proposition d’Angela Merkel de mise en place d’un Schengen de l’Internet avait suscité une série d’incompréhensions politiques à différents niveaux, avant d’être balayée d’un revers de main par les Américains. Je songe également aux stratégies d’évitement d’une ultra-dépendance aux câbles sous-marins contrôlés par des sociétés américaines. La question n’est donc pas nouvelle, puisque ces propositions pouvaient être envisagées, à l’époque, comme une forme de troisième voie permettant à l’Europe de se positionner entre cette vision très libertarienne à la californienne – bien que soutenue par le pouvoir fédéral – et cette vision techno-autoritaire à la chinoise.

Depuis, l’accent a fortement été mis sur les valeurs, en particulier avec l’adoption du RGPD en mai 2018. Loin de moi l’idée de critiquer ce point précis de la diplomatie numérique des États européens. Cela dit, alors que la diplomatie numérique à l’européenne se place uniquement sur la défense des valeurs, en particulier de l’éthique en matière de données et d’intelligence artificielle, les deux blocs américain et chinois n’ont absolument aucune pudeur à s’affranchir de ce type de considérations et à s’inscrire dans des logiques de puissance assez classiques. Je ne souhaite absolument pas relativiser ou mettre sous le tapis ce type de politique éminemment louable. Est-ce toutefois suffisant pour être en mesure de peser sur la scène internationale ? Est-ce suffisant pour entrer dans une démarche plus soutenue de souveraineté numérique ? Je n’en suis pas totalement certain.

Un choix est à opérer dans cette logique de troisième voie. Doit-elle impliquer une démarche plus proactive en matière numérique ou devons-nous nous reposer sur la défense d’une vision spécifique du numérique, qui nous classerait à part sur cette carte numérique internationale ? Ces questions demeurent ouvertes. En tout état de cause, nous parvenons à un tournant dans cette approche de troisième voie. Dans d’autres régions du monde, en Asie du Sud-Est, dans le sous-continent indien, en Afrique, au Moyen-Orient, les approches et les politiques américaines et chinoises s’entrechoquent et s’affrontent, tandis que l’Europe est parfois très absente. Nous devons donc veiller à ne pas rester invisibles ou en retrait sur notre piédestal de la défense d’un monde libre et débarrassé de ses contingences les moins réjouissantes. Ces éléments semblent peut-être abstraits, mais je suis convaincu que toute réflexion ultérieure sur cette idée de troisième voie devrait nous amener à penser le type de modèle que nous souhaiterions défendre.

M. Philippe Latombe, rapporteur. Vous avez souligné, à plusieurs reprises, que les Américains avaient pris conscience de l’inéluctabilité des problèmes d’espace, et qu’ils s’étaient pleinement engagés dans le numérique pour contrebalancer cette évolution. Si l’on se réfère au premier sens de la notion d’espace, à savoir l’Espace, situé au-delà de la surface de la Terre, nous observons que les Américains lancent, via des acteurs privés, des constellations de satellites pour être en capacité de communiquer partout sur tous les points du globe – c’est un autre projet d’Elon Musk. De notre côté, le commissaire européen souhaite lui aussi lancer sa propre constellation. Nous suivons ainsi les évolutions proposées par les Américains ou les Chinois, en nous efforçant de rattraper notre retard. D’après vous, avons-nous la possibilité, sur un certain nombre de technologies, de prendre de l’avance et d’être suffisamment proactifs pour assumer un leadership sur ces technologies indispensables à l’avenir ?

M. Julien Nocetti. Cette question est presque vertigineuse. Vous avez à juste titre évoqué cette forme de suivisme et d’approche défensive de l’Union européenne, notamment en matière de numérique ou de cybersécurité. Différents éléments peuvent pourtant nous apporter un peu d’espoir ou donner matière à réfléchir. Je pense ici aux différentes initiatives récemment avancées en matière de 6G. Dans la mesure où nous sommes encore dans une phase embryonnaire de déploiement de la 5G, parler de 6G pourrait sembler très abstrait. Pourtant, des réflexions et des projets très concrets ont déjà été initiés dans ce domaine.

De fait, si l’Europe pouvait s’engouffrer dans des niches – certes étroites – d’excellence, il s’agirait plutôt de niches intégrant une dimension normative et de standards. On doit bien comprendre que la plupart des tensions numériques et technologiques des quatre ou cinq dernières années ont étroitement associé des enjeux de normes et standards. Auparavant, ces enjeux relevaient de processus de régulation extrêmement techniques. Aujourd’hui, ils ont pris une dimension géopolitique extrêmement puissante. Dans ce domaine, les Européens ont également pris conscience de leur propre retard. La 5G a évidemment jeté une lumière assez crue sur cette réalité, notamment du côté américain, puisque nous avons compris que les Américains ne maîtrisaient pas tout le spectre de la technologie 5G. En Europe, la situation est quelque peu différente, avec des acteurs comme Nokia ou Ericsson disposant de leurs propres savoir-faire.

Quoi qu’il en soit, des niches d’excellence sont nécessairement à prendre du côté européen. Dans certains domaines comme la cybersécurité, l’identité numérique ou l’algorithmie, l’Europe dispose de savoir-faire de pointe et de pépites, avec des expertises personnelles et collectives – centres de recherche, laboratoires, start-up – extrêmement pointues. De fait, pour répondre indirectement à votre question, l’Europe pourrait se montrer plus proactive en assurant la défense et la protection de tels acteurs face à des stratégies prédatrices extrêmement classiques. Nous devons investir des niches d’excellence susceptibles de réduire notre dépendance à d’autres acteurs extra-européens, tout en nous donnant la capacité de protéger nos propres acteurs. Comme l’actualité l’a récemment montré, certains acteurs majeurs de la cybersécurité ont été rachetés par des concurrents étrangers. Différentes pistes doivent donc être explorées dans ce domaine.

M. Philippe Latombe, rapporteur. Peut-on superposer, sur les plaques du numérique, des plaques liées à la défense physique ? Obtient-on des développements numériques et de l’expertise numérique grâce aux besoins de l’industrie militaire et de défense ? Nous savons que les Chinois investissent massivement dans le naval afin de rattraper leur retard sur les Américains. En ont-ils profité pour catalyser sur le numérique et acquérir des avantages dans ce domaine ? Dans le même esprit, le réinvestissement de l’Espace par les Américains a-t-il permis l’émergence de filières numériques plus fortes ? Les deux sujets sont-ils nécessairement liés ou sont-ils décorrélés ?

M. Julien Nocetti. Les deux sujets ne sont absolument pas décorrélés. L’histoire récente des États-Unis témoigne d’ailleurs des liens étroits tissés entre l’écosystème numérique national et le complexe militaro-industriel. C’est notamment pour cette raison que l’on fait de plus en plus souvent référence, aux États-Unis, au complexe militaro-numérique. Cette expression ne relève aucunement du fantasme et a été employée à maintes reprises par quantité d’auteurs.

En Chine, une stratégie de mimétisme a été initiée à partir du début des années 2010, avant de monter en puissance à partir de 2015 avec les différentes ambitions nationales édictées en matière de cybersécurité, d’intelligence artificielle, d’autonomisation technologique, etc. On observe d’ailleurs, davantage du côté chinois que du côté américain, avec les différences de régime que l’on connaît, le caractère totalement assumé des collaborations entre le parti-État, les structures de l’Armée populaire de libération et les différents acteurs de l’économique numérique nationale. Ces différents acteurs numériques sont ainsi très fortement incités à collaborer avec les structures militaires. Une expression chinoise consacrée parle même de « fusion civilo-militaire », traduisant l’idée que toute avancée dans le domaine civil commercial en matière de numérique doit aussi bénéficier à l’armée, aux structures militaires et aux services de renseignement.

L’imbrication entre les deux dimensions est donc extrêmement forte du côté chinois. C’est d’ailleurs l’un des éléments qui peut nous faire réagir si l’on considère l’exportation plus soutenue de ces acteurs chinois en Europe, en Afrique ou ailleurs, et qui explique en partie les très vives réactions des différentes administrations américaines.

M. Philippe Latombe, rapporteur. Quelle est la position de la France au sein de l’Europe ? Quel est notre rôle ? Sommes-nous suffisamment ou insuffisamment moteurs en la matière ? Disposons-nous d’une vision trop franco-française des enjeux ? Comprenons-nous bien les contraintes et les volontés de nos voisins ? Comment sommes-nous perçus par nos partenaires européens ?

M. Julien Nocetti. La question est évidemment très vaste. J’évoquais précédemment le concept d’autonomie stratégique et sa réappropriation partielle par la « bulle bruxelloise », par le biais de certaines initiatives technologiques et numériques. Or ce concept est bien issu du contexte stratégique français. De fait, cette idée d’autonomie stratégique numérique a pu être perçue, par certains États européens à Bruxelles, comme une volonté française d’être, sinon hégémonique, du moins beaucoup plus présent dans le débat, quitte à essayer d’en imposer les termes. Certains de nos partenaires européens le ressentent ainsi.

Par ailleurs, nos partenaires observent également que la France mène, surtout depuis 2017, une diplomatie de la conférence très soutenue en matière de numérique, avec la succession – presque chaque année – d’évènements internationaux. Je pense ici aux évènements TechForGood et VivaTech, ainsi qu’aux réceptions d’acteurs de la Tech et de patrons américains à Versailles ou à Paris. Scénarisés en grande pompe, ces évènements sont parfois observés avec une forme d’amusement chez certains de nos voisins, qui y voient surtout une volonté de la France de se mettre en avant, au détriment d’une approche plus collective et plus européenne. Je ne fais ici que retranscrire une partie du regard de certains partenaires, qui est assez présente en Allemagne et en Italie, où cette mise en avant de la France suscite parfois quelques critiques.

N’oublions pas, cependant, que la France a été motrice vis-à-vis de certains processus, notamment dans l’Appel de Christchurch. Formulées dans la foulée de l’attentat de 2019, les propositions de la Première ministre néozélandaise sur la nécessité de lutter contre les discours de haine en ligne avaient été relayées par la présidence française, avec une dimension européenne, ce qui avait été positivement perçu par nos partenaires.

Un autre élément m’amènerait peut-être à réagir de manière plus nuancée. Je pense ici à la diplomatie de la cybersécurité, avec l’Appel de Paris, qui associe différents partenaires étatiques, privés et associatifs, et qui est sans doute l’élément majeur de cette diplomatie numérique à la française. In fine, cet Appel de Paris de novembre 2018 a bénéficié d’un insuffisant service après-vente, si je puis parler crûment. Cet effort pourrait pourtant être soutenu. D’ailleurs, différentes commissions et différents groupes de travail s’efforcent aujourd’hui de prolonger les propositions de l’Appel de Paris. Néanmoins, en échangeant avec des officiels et des experts extra-européens, on comprend que les propositions françaises formulées dans l’Appel de Paris demeurent peu connues et qu’elles n’ont guère été relayées après l’évènement de novembre 2018.

De fait, la diplomatie de la conférence conduite par la France traduit aussi une stratégie d’affichage qui n’est pas toujours suivie d’effets. Cet aspect de notre politique pourrait donc être plus soutenu et plus efficient, sachant que la diversité des enjeux traités dans ces multiples initiatives et évènements requiert des moyens qui, parfois, font aussi défaut à l’ensemble de l’appareil diplomatique français.

M. Philippe Latombe, rapporteur. Le RGPD est une création européenne, dont l’impact fut assez fort au sein de l’Union européenne – pour les entreprises, les collectivités, etc. – comme à l’extérieur de l’espace communautaire. Est-ce un outil dont nous devons tirer des leçons pour étendre notre diplomatie et notre influence ? S’agit-il d’un bon exemple, ou considérez-vous que ce qui a fonctionné pour le RGPD ne fonctionnera pas pour d’autres sujets ?

M. Julien Nocetti. Le RGPD constitue à la fois un bon et un mauvais exemple de cette affirmation de l’Union européenne en matière numérique. Il est un bon exemple dans le sens où il entre dans le champ classique des politiques extérieures de l’Union européenne, qui souhaite s’affirmer en tant que puissance par la norme et par le droit. Je fais ici référence à un ouvrage de Zaiki Laïdi, qui présentait l’Union européenne comme puissance normative par excellence. En l’occurrence, on s’est rendu compte que ce RGPD avait « parlé » bien au‑delà de nos propres frontières et que certains acteurs – y compris certains États américains – l’avaient lu avec un très grand intérêt, au point d’être allègrement discuté en Chine.

Néanmoins, nous ne devons pas nous reposer sur nos lauriers européens et sur cette mise en avant de nos propres valeurs en matière de données personnelles et de fonctionnement de l’économie numérique en général. En effet, dès l’origine, le RGPD a été amplement contourné par certaines dispositions, notamment par le fameux Cloud Act américain, que votre mission d’information n’a certainement pas manqué de questionner durant ses auditions. Cette affirmation européenne est évidemment très positive en ce sens qu’elle participe d’un soft power et d’un rayonnement évidemment bienvenus, qui nous font dire que l’Europe compte aussi dans la diplomatie numérique, mais elle est loin d’être suffisante. J’en reviens à l’une de mes précédentes réponses, à savoir que nous devrions chercher à peser de manière plus classique en mesurant bien les rapports de force régissant le champ numérique.

M. Philippe Latombe, rapporteur. Devrions-nous assurer l’extraterritorialité partielle de notre droit, à l’instar des Américains ?

M. Julien Nocetti. Il s’agit également d’une question aux enjeux multiples. Dans la mesure où les Américains utilisent sans fard leur droit à des fins de politique étrangère et à des fins stratégiques, il paraîtrait naturel que l’Europe puisse aussi se doter de moyens juridiques à la hauteur des ambitions qu’elle formule pour son propre avenir numérique, telles qu’elles sont précisées dans le document Boussole numérique 2030. De même, dans la mesure où les sanctions internationales constituent désormais l’un des outils privilégiés de la géopolitique, il paraîtrait nécessaire de pouvoir se doter d’instruments d’extraterritorialité.

M. Philippe Latombe, rapporteur. Historiquement, l’extraterritorialité américaine a notamment débuté avec le dollar, qui a permis d’imposer des sanctions à des pays comme l’Iran. Elle a ensuite été étendue au champ économique via des possibilités de sanctions contre des banques européennes. Cette extraterritorialité, qui s’est matérialisée dans le conflit économique avec les Chinois, notamment pour les systèmes d’exploitation des smartphones et les semi-conducteurs, pourrait-elle nous impacter à terme ? Pourrions-nous également en être victimes à court terme ? Malgré cette notion d’alliance avec les États-Unis, seraient-ils capables de nous l’imposer de la même manière ? Les sentez-vous en capacité d’agir ? Existe-t-il un véritable risque dans ce domaine ?

M. Julien Nocetti. Le risque est toujours présent. Néanmoins, ma réponse comporte une part de spéculation. Il est toujours extrêmement délicat de se positionner. Lors de la dernière décennie, et notamment sous la présidence de Barack Obama, l’alliance avec les partenaires traditionnels des États-Unis était de rigueur. Pourtant, c’est bien à ce moment qu’ont été votées des sanctions ciblant notamment certaines banques françaises ou certains acteurs de l’énergie, non pas en rapport avec la Chine, mais en rapport avec l’Iran. In fine, peu importe le camp politique de l’actuel président américain, puisque ce sont d’abord et avant tout les intérêts nationaux américains – tels qu’édictés par la Maison-Blanche – qui primeront. Le risque politique de sanctions demeure donc très fort et pourrait bien viser les Européens dans certains secteurs critiques. Sous la présidence de Donald Trump, différentes manœuvres et menaces de sanctions ont été brandies à l’encontre de certains acteurs européens. Ericsson a par exemple subi des sanctions en raison de liens supposés avec l’Iran, dans un contexte où les tensions avec Huawei étaient au plus fort, et où le conseil d’administration de Nokia était en plein renouvellement. Ces manœuvres géoéconomiques témoignent donc d’une utilisation sans fard et sans complexe de tous ces outils de politique étrangère. Sanctions et mesures extraterritoriales font partie de l’arsenal américain, dans une logique totalement assumée, indépendamment du parti politique dont est issu le locataire de la Maison-Blanche.

M. Philippe Latombe, rapporteur. France Digitale a attaqué Apple en justice pour des pratiques anti-concurrentielles, arguant du fait qu’il est impossible d’échapper à son monopole, étant entendu qu’Apple est propriétaire à la fois du système d’exploitation et de la plateforme d’achat des applications. Parallèlement, des questions sur la taille des GAFAM commencent à émerger aux États-Unis. S’agit-il d’une question qui se pose réellement ? S’agit-il simplement d’une menace de circonstance ou s’agit-il d’une voie dans laquelle même les Américains devront rentrer ?

M. Julien Nocetti. La question de la régulation des GAFAM est aussi très sensible aux États-Unis. Je suppose que vous avez en tête le rapport de David Cicilline rendu public à l’automne dernier, du nom de ce député américain porteur de ce rapport très conséquent sur le démantèlement – c’était l’une des conclusions phares du rapport – des géants du numérique, qui fait suite à un travail parlementaire très fouillé sur les pratiques des Big Tech. On se rend bien compte que les différentes menaces pesant sur les GAFAM sont évoquées avec plus de bruit qu’en Europe ou dans d’autres régions du monde. Peut-être est-ce en interne et par le pays dont sont originaires ces acteurs que pourraient venir les menaces les plus sérieuses. De même, nous avons tous ici en tête les différentes auditions du patron de Facebook, Mark Zuckerberg, par le Congrès américain. Nous l’avons vu répondre, penaud et parfois livide, aux différentes accusations parfois véhémentes des parlementaires américains.

Cette tendance n’est pas à sous-estimer, car elle ne relève pas seulement d’une scénarisation. Sans nier l’existence d’une part d’affichage politique en interne, il existe indéniablement une insatisfaction par rapport à ce que ces géants du numérique sont devenus. Cette insatisfaction n’est pas nécessairement partagée par toutes les tendances politiques, mais l’aile la plus à gauche du parti démocrate soutient des positions extrêmement virulentes vis‑à‑vis de ces acteurs, comme en témoignent notamment les propositions de démantèlement soutenues par Elisabeth Warren. La plupart de ces propositions n’ont que très peu de chances d’aboutir, en l’absence de consensus bipartisan sur la majorité des thématiques numériques.

Cela dit, l’enjeu le plus saillant sur lequel ces acteurs pourraient être attaqués est celui du respect de la concurrence, que le législateur américain a toujours à cœur, suite à des décennies de pratiques déjà éprouvées dans ce domaine. Il ne serait pas surprenant qu’un acteur comme Facebook, aussi majeur soit-il, finisse par être scindé, pour des raisons concurrentielles, mais aussi politiques, en plusieurs entités, sachant que ce sujet fait l’objet de discussions répétées au sein même des États-Unis. En tout état de cause, cette possibilité ne relève pas du simple fantasme.

Il conviendra donc de scruter, avec l’installation progressive de la nouvelle administration, l’expression de différentes tendances en son sein. La vice-présidente Kamala Harris ne disposera-t-elle pas d’une voix politique plus importante d’ici un ou deux ans ? Personne ne le sait à l’heure actuelle, mais qui nous dit que son propre regard sur les GAFAM ne va pas l’emporter ? Nous savons qu’elle nourrit plutôt, de par son expérience d’élue californienne, une forme de proximité avec la défense des intérêts de ce secteur, qui est au demeurant tout à fait classique. Quoi qu’il en soit, nous sommes à un moment charnière. L’administration Biden va désormais se concentrer sur des questions de politique intérieure, et il est vrai que cette insatisfaction et ce poids politique démesuré acquis par les GAFAM ne laisseront pas d’autres choix au législateur américain que d’agir dans les quatre ans à venir.

M. Philippe Latombe, rapporteur. Ne sont-ils pas en train de recréer d’autres formes de conglomérats aussi puissants, par exemple en confiant à Elon Musk l’activité spatiale, la reconquête industrielle automobile américaine et la distribution de réseaux Internet par satellites ? In fine, n’est-ce pas l’histoire sans fin des États-Unis que de détruire d’importants conglomérats – de type Standard Oil – pour en créer d’autres en parallèle ? Devons-nous nous y habituer ? Avec les Chinois qui construisent eux-mêmes leurs propres conglomérats, nous nous retrouvons aujourd’hui avec les GAFAM d’un côté et les BATX de l’autre, mais nous pourrions tout aussi bien, à l’avenir, retrouver de grands complexes industriels et numériques américains à la Elon Musk et leurs équivalents chinois.

M. Julien Nocetti. La question est éminemment complexe et politique. D’ailleurs, parmi les nombreux exemples américains, vous avez omis de mentionner Amazon.

M. Philippe Latombe, rapporteur. Bien sûr, j’aurais pu citer Amazon.

M. Julien Nocetti. Cette omission est très intéressante. Bien souvent, lorsque l’on évoque ces grands acteurs du numérique, il existe – j’ignore pourquoi – une forme d’impensé vis-à-vis d’Amazon, alors que c’est peut-être l’acteur sinon le plus menaçant, du moins le plus tentaculaire de ces GAFAM. Amazon est devenu la place de marché par excellence et fait peser des risques très concrets au plan macroéconomique et microéconomique, impactant les questions d’équilibre des territoires au sein de ses différents pays d’implantation.

Comme vous l’avez justement décrit, nous faisons face à un mouvement de reconstitution d’acteurs monopolistiques. L’exemple d’Elon Musk avec Tesla et SpaceX est très clair. Nous pourrions aussi parler de Facebook et de ses ambitions – qui ont été discrètement annoncées – de production de semi-conducteurs. De même, Google et Facebook sont très présents, depuis quelques années, dans le tirage de câbles sous-marins. Nous avons donc affaire à des acteurs qui ne se contentent plus du tout d’être la grille de lecture sur le monde de la jeunesse connectée – pour Facebook – ou le moteur de recherche incontournable sur le web – pour Google, puisque ces acteurs entendent également maîtriser l’infrastructure. Cette quête passe par différentes ambitions dans divers secteurs. À ce titre, le spatial est sans doute le secteur qui nous révèle le côté le plus ambitieux – voire mégalomane – de leurs aspirations. Pour sa part, l’Europe dispose d’assez peu de moyens pour répondre à cet enjeu.

M. Philippe Latombe, rapporteur. Devons-nous chercher à agréger des acteurs pour leur permettre d’atteindre une taille critique ? Dans la compétition de demain, pourrons-nous survivre avec des entreprises de taille intermédiaire (ETI) face aux grands groupes construits par nos concurrents – j’emploie à dessein le terme « concurrents », et non le terme « adversaires » ? Je précise que ma question couvre aussi bien le volet économique que la logique de stratégie d’influence.

M. Julien Nocetti. Dans la mesure où les équivalents de Facebook, Google et consorts n’existent pas en Europe, et dans la mesure où il serait inutile de les imiter, nous devrions plutôt privilégier des logiques d’intégration au sein de grands groupes déjà présents dans les différents secteurs industriels : défense, aéronautique, ferroviaire, etc. C’est plutôt à partir de ces grands groupes que nous devrions penser l’intégration de différentes capacités numériques au sens large. Du moins, c’est par ce type d’acteurs – je ne mentionnerai aucun nom aujourd’hui – que les Européens pourront peser à l’international. Ce n’est pas par le biais d’un éventuel Google européen – toutes les tentatives en la matière ont échoué – que l’Europe pourra essayer de défendre ses positions, mais par l’adaptation des grands acteurs industriels traditionnels. En tout cas, c’est ainsi que je vois les ambitions européennes se matérialiser.

M. Philippe Latombe, rapporteur. Dans une vision prospective, à quoi ressemblera le numérique d’ici cinq ou dix ans ? Aurons-nous franchi de tels paliers technologiques que ce que nous connaissons aujourd’hui ne sera plus du tout d’actualité à moyen terme ? Ou serons-nous dans la continuité de ce qui existe aujourd’hui ? In fine, à quoi devons-nous nous préparer, et quelle étape suivante devrions-nous d’ores et déjà commencer à intégrer ?

M. Julien Nocetti. Comme je l’évoquais dans mon propos liminaire, nous devons bien mesurer l’accélération phénoménale à laquelle nous avons été confrontés depuis à peine dix ans. En l’espace de quelques années, la décennie 2010 a été marquée par le franchissement de certaines étapes vertigineuses en matière de numérique et de technologies. Ce rythme effréné va-t-il se poursuivre à horizon de cinq ou dix ans ? De la réponse à cette question dépendront un certain nombre de paramètres.

Je pense d’abord à un paramètre souvent négligé, qui a pu être rappelé par les patrons de Google ou Microsoft, à savoir nos capacités d’adaptation à nous, citoyens du monde entier, à la magnitude et à la vélocité de ce changement technologique numérique. Il ne s’agit pas de paroles en l’air, mais d’un sujet extrêmement concret. En Europe, et surtout aux États-Unis, où les fractures au sein de la société sont plus nettes et plus mesurables, une partie des insatisfactions prend forme dans les conséquences des changements technologiques. Les principaux thèmes des campagnes présidentielles américaines de 2016 et de 2020 – migrations, travail, rapport à la mondialisation, etc. – étaient très étroitement liés aux conséquences de la numérisation des sociétés, de l’évolution des modes de travail et de tous ces bouleversements technologiques à l’œuvre dans nos sociétés globalisées.

Bien que nous ayons tendance à occulter ce paramètre socio-économique, nous devrons le suivre de manière très stratégique et très politique dans les cinq à dix années à venir, sachant que ces changements technologiques suivent un rythme très véloce, qui plus est avec une extension du champ numérique. Je mentionnais précédemment l’ampleur prise par les questions et les enjeux de l’intelligence artificielle, des réseaux 5G déployés à grande échelle, qui impliqueront des enjeux de libertés fondamentales à l’ère numérique, des enjeux de surveillance – que nous avons malheureusement pu mesurer depuis la crise sanitaire – et des enjeux stratégiques, au sens où les grands acteurs de cette planète technologique n’auront aucune pudeur à s’affranchir des règles de bon comportement et défendront leur propre pré carré et leur propre stratégie. Je ne le dis pas pour m’inscrire dans une posture pseudo-réaliste, mais pour tenter de dessiner une lecture qui se distancie d’une certaine forme d’ingénuité par rapport à ces enjeux. Nous sommes bien dans une logique de rapports assez bruts, et tous les phénomènes que nous pouvons observer depuis quelques années seront nécessairement amplifiés dans les années à venir. Il s’agit donc d’acquérir une compréhension extrêmement fine de ces enjeux, en particulier – c’est l’objet de votre commission et de vos travaux – de ces enjeux de souveraineté extrêmement puissants.

M. Philippe Latombe, rapporteur. Vous considérez que le numérique modèle la société, mais pas nécessairement au même rythme pour tout le monde, ce qui peut générer, au-delà de la fracture numérique en tant que telle, une fracture sociale ou sociétale liée au numérique. L’opposition manifestée en France à l’encontre de la 5G et du développement de cette nouvelle technologie en est-elle un exemple ou relève-t-elle simplement de l’épiphénomène ? Pensez-vous qu’une partie des sociétés s’opposeront à ce rythme de transformation ? Quelles en seraient les conséquences géopolitiques et géostratégiques, notamment du côté chinois ou américain ? Aux États-Unis, la dernière élection présidentielle nous permet de mesurer globalement l’étendue du rapport de force. Du côté chinois, hormis quelques révoltes à Hong Kong, le phénomène est difficile à mesurer. S’agit-il également d’une menace pour Pékin ? Comment le pouvoir chinois perçoit-il cet enjeu ? Va-t-il ralentir le rythme de transformation de la société chinoise, ou au contraire l’accélérer pour obliger tout le monde à suivre ?

M. Julien Nocetti. Je répondrai en deux temps, en tenant compte des deux dimensions que vous avez évoquées. Je mets de côté la Chine, sur laquelle je reviendrai dans quelques instants, pour commencer par ce premier enjeu plus sociétal. In fine, un développeur de San Francisco partage davantage de points communs avec un fondateur de start-up de Bangalore, un capital-risqueur de Londres ou un hacker de Saint-Pétersbourg qu’avec ses propres concitoyens du Midwest américain. Bien entendu, il s’agit de l’exemple américain, qui est très particulier. Néanmoins, les mêmes fractures territoriales, urbaines et géographiques sont à l’œuvre en France, ainsi qu’au Royaume-Uni, où les fractures sont encore plus marquées qu’en France. Ces fractures sont profondément travaillées par le numérique, par notre dépendance au numérique et par l’emprise de certains acteurs, à commencer par Amazon. C’est un paramètre sur lequel je souhaite mettre l’accent.

Pour ce qui est de la Chine, nous exerçons, depuis notre continent européen, un regard très distancé et sans doute très monolithique et très vertical sur cette Chine numérique. Deux paramètres sont à prendre en compte.

D’abord, les plans quinquennaux et les grandes ambitions et stratégies chinoises en matière d’intelligence artificielle, de numérique ou de semi-conducteurs ne sont pas tous couronnés de succès. Pékin recourt aussi à une stratégie déclaratoire très visible, à laquelle nous donnons beaucoup d’échos, et qui est relayée par les États-Unis, qui en développent une forme d’anxiété. Malgré tout, certains grands plans chinois – notamment dans l’industrie automobile – ont échoué, témoignant ainsi de l’absence de certitudes quant à la réussite de ces grandes ambitions chinoises, qui se heurtent parfois à l’absence de capital humain et d’expertise dans certains domaines de pointe. J’en reviens ici à cette dimension humaine que nous avons longtemps occultée sur les enjeux de numérique, notamment dans le domaine de la cybersécurité.

En outre, la Chine est épisodiquement marquée par l’émergence de contestations. Il est difficile d’y voir parfaitement clair, mais le pouvoir chinois fait parfois face à des foyers de contestation liés à une crise écologique, un accident ferroviaire, sans compter les évènements très particuliers de Hong Kong, dont l’impact fut retentissant. En tout état de cause, le numérique sert aussi aux citoyens chinois, qui ont développé une forme d’ingéniosité en tentant de contourner les mots et termes censurés, et qui emploient tout un vocable dédié afin de contourner cette grande muraille et ce pare-feu à la chinoise, dont le caractère monolithique est effectivement indéniable. Ne sous-estimons donc pas les réponses et les capacités de mobilisation des populations chinoises face aux initiatives très verticales de Pékin.

M. Philippe Latombe, rapporteur. Nous consacrerons une partie de nos auditions à l’éducation et à la formation, de même qu’au sujet plus global du capital humain. Nous avons bien compris le point que vous avez soulevé, notamment en matière de cybersécurité, et nous dédierons une partie de nos auditions à cette thématique de formation, un élément clé du numérique consistant à disposer d’acteurs et d’experts en capacité de produire du numérique.


—  1  —

Audition, ouverte à la presse, de MM. Julien Groues, directeur général, et Stéphan Hadinger, directeur technique, d’Amazon Web services (AwS) (18 mars 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le Président Jean-Luc Warsmann. Nous recevons ce matin les représentants d’Amazon web services (AWS) France : M. Julien Groues, directeur général, M. Stephan Hadinger, directeur technique, M. Laurent Tari, directeur juridique, M. Lionel Benatia, directeur des affaires publiques et Mme Charlotte Baylac, chargée des affaires publiques.

AWS est une filiale d’Amazon née en 2006 et spécialisée dans les services de cloud computing, dont elle était, fin 2019, le premier fournisseur français avec 39 % des parts de marché. Vous nous indiquerez l’évolution de ce chiffre depuis. À l’époque, le cloud Microsoft détenait 19 % de parts de marché et Google cloud, 9 %.

Nous avons à vous poser de nombreuses questions sur la protection des données face au Cloud Act, les tendances du marché actuelles et la numérisation des entreprises françaises, dont beaucoup font appel à vos services.

M. Philippe Latombe, rapporteur. En introduction, j’évoquerai trois sujets sur lesquels nous souhaiterions vous entendre.

D’abord, que recouvre pour vous la notion de souveraineté numérique ? Les pouvoirs publics y consacrent une attention croissante depuis la crise sanitaire. Nous avons entendu, lors de nos auditions, plusieurs définitions de cette notion, que certains rapprochent d’une forme d’autonomie stratégique ou décisionnelle. Je suis curieux du regard qui est le vôtre en tant qu’entreprise américaine implantée en Europe.

Ensuite, comment voyez-vous le marché actuel du cloud ? Comment anticipez-vous son évolution, ces prochaines années ? Votre regard sur les pratiques des entreprises privées et des acteurs publics clients de vos solutions nous intéresse également. Quels sont leurs besoins et leurs attentes ? Ceux-ci ont-ils évolué depuis la crise sanitaire ? Pourriez-vous aussi nous parler de l’initiative GAIA-X, dont vous êtes membre, visant à garantir le mutlicloud, la sécurité des données et l’interopérabilité des services ?

Enfin, nous aimerions échanger avec vous sur les différentes initiatives européennes de régulation du numérique, comme le Digital Services Act (DSA), le Digital Markets Act (DMA) ou le Data Governance Act (DGA). Comment vous positionnez-vous par rapport à ces différents projets de régulation ?

Que pouvez-nous nous dire de l’enjeu que constitue la protection des données, dans un contexte où l’extraterritorialité du droit américain risque de mettre à mal le respect des garanties offertes par le droit européen ? Comment interprétez-vous le Cloud Act dans le cas d’une demande de transmission de données par les autorités américaines ? Qu’est-ce qu’a changé l’arrêt Schrems II dans les relations avec l’Europe ?

M. Julien Groues, directeur général d’AWS France. C’est un honneur pour nous de prendre la parole devant vous aujourd’hui. Je propose qu’une fois rappelé brièvement qui nous sommes et ce que nous faisons en France et en Europe, nous évoquions la manière dont AWS joue son rôle dans le renforcement du leadership numérique de l’Union européenne.

Nous nourrissons la conviction que les entreprises françaises doivent avoir la liberté de choisir où elles stockent leurs données, d’en contrôler le contenu et de changer de fournisseur si elles le souhaitent, en optant pour celui qui met à leur disposition la meilleure technologie, dans un cadre compétitif. Cette liberté de choix nous apparaît comme un besoin fondamental de nos clients. Nous ne devons pas la limiter sous peine de freiner ainsi leur innovation.

Je suis convaincu que le cloud AWS rend plus souveraines les organisations françaises et européennes, c’est-à-dire plus autonomes, plus compétitives, plus innovantes et mieux sécurisées.

Après plus d’une décennie à développer une application web évolutive, Amazon.com, en tant que détaillant, a pris conscience de sa compétence acquise dans l’exploitation d’infrastructures technologiques et de grands centres de données. L’entreprise s’est alors lancée dans une mission plus vaste : servir de nouveaux clients (développeurs et entreprises) en leur fournissant des services web pour créer des applications sophistiquées et évolutives. Par coïncidence, nous fêtons cette semaine le quinzième anniversaire d’AWS.

Le terme de cloud computing désigne la fourniture à la demande de ressources informatiques facturées à l’usage. Au lieu d’acquérir puis d’entretenir leur propre centre de données ou leurs serveurs, des organisations utilisent, en fonction de leurs besoins, des technologies et des services informatiques. On peut comparer le cloud computing à la fourniture d’électricité, dans la mesure où les entreprises clientes pressent en quelque sorte un interrupteur pour accéder à des services qu’elles peuvent cesser d’utiliser à tout moment, d’un simple clic de leur part.

AWS assure la gestion et le maintien, dans un environnement sécurisé, d’une infrastructure technologique, à laquelle accèdent les entreprises pour développer rapidement leurs propres applications, celles-ci ne payant que pour la partie de l’infrastructure qui leur est utile.

Nous fournissons, partout dans le monde, à la demande, plus de deux cents services liés à la puissance de calcul, au stockage, aux bases de données, à l’Intelligence artificielle, à l’Internet des objets, aux solutions hybrides, etc.

Au cours du dernier trimestre 2020, AWS a réalisé un chiffre d’affaires de 12,7 milliards de dollars, en hausse de 28 % par rapport à l’année précédente, ce qui porte le chiffre d’affaires annualisé à 51 milliards de dollars.

Depuis dix ans, nous accélérons nos investissements en France pour accompagner nos clients locaux. Nous avons ainsi ouvert, en 2017, en France, une région de data centres : à savoir, plusieurs ensembles de centres de données, disponibles pour tous nos clients souhaitant stocker leurs données sur le territoire français ou bénéficier d’une faible latence pour leurs applications.

En France, les équipes d’AWS aident ces clients et partenaires de toute taille (dont les intégrateurs de systèmes et les éditeurs de logiciels indépendants) à passer au cloud afin de bénéficier de ces avantages. Nous comptons en France des dizaines de milliers de clients actifs. Nous travaillons avec les deux tiers des entreprises du Next40 et avec plus de 80 % de celles du CAC40. Le recours au cloud s’est désormais imposé comme norme permettant aux entreprises de se concentrer sur leur cœur de métier et de réduire leur dette technique.

Il présente cinq avantages principaux :

– l’agilité (la capacité d’allouer rapidement d’importantes ressources en cas de besoin en activant des milliers de serveurs en quelques minutes) ;

– la réduction des coûts (Veolia évalue l’économie liée à la migration de ses bases de données vers le cloud à 40 % de ses coûts d’exploitation ERP) ;

– l’élasticité (au lieu de fonctionner presque constamment en surcapacité pour faire face aux pics d’activité, nos clients ne payent que pour ce qu’ils consomment réellement) ;

– la capacité d’innovation (qui augmente à proportion de la baisse du coût de l’échec) ;

– la faculté de déployer instantanément des solutions partout dans le monde.

Deux autres raisons poussent un nombre croissant de nos clients à se tourner vers le cloud AWS :

– la réduction de l’impact écologique ;

– la sécurité des données et des applications.

En 2020, le cloud computing s’est avéré plus important que jamais : il a permis aux entreprises françaises de s’adapter et de limiter les dommages économiques d’une crise sanitaire inattendue. AWS a accompagné ses clients dans la continuité de leurs opérations, la réduction de leurs coûts informatiques, l’invention de nouveaux business models, ou encore la croissance de leur activité.

La question de la souveraineté numérique réside au cœur de notre mission d’entreprise. Au-delà de la capacité à réguler le cyberespace et la sphère numérique, la souveraineté numérique suppose d’atteindre une autonomie stratégique dans la sphère numérique, conjuguée à une compétitivité technologique renforcée.

Selon nous, être souverain en matière numérique, c’est avant tout maîtriser les outils qui permettent des choix technologiques autonomes, le développement et le déploiement des capacités et des infrastructures numériques stratégiques, comme l’a expliqué la commissaire européenne Margrethe Vestager.

Notre action en ce sens s’articule autour de trois axes :

– garantir le plus haut niveau de sécurité et de protection des données ;

– respecter la souveraineté de ces données ;

– fournir un accès aux technologies les plus avancées.

M. Stéphan Hadinger, directeur technique d’AWS France. La sécurité et la protection des données sont des piliers de la numérisation de l’économie française et européenne. Rien ne compte plus pour AWS que de protéger les données de ses clients. Nous avons travaillé dur, année après année, pour nous conformer aux normes internationales reconnues.

Nous avons ainsi été le premier fournisseur de cloud en 2016 à recevoir la certification C5 en Allemagne. Nous pouvons aussi nous targuer d’une certification « hébergement de données de santé » (HDS) en France et « Esquema nacional de seguridad » (ENS) en Espagne. AWS adhère au code de conduite du Cloud Infrastructure Services Providers in Europe (CISPE), une association professionnelle de fournisseurs de cloud en Europe, permettant à leurs clients d’évaluer la conformité de leur fournisseur de cloud au Réglement général sur la protection des données (RGPD). Nous participons, qui plus est, dans chaque pays européen, à des travaux visant à améliorer la sécurité de nos clients.

Nos nombreuses certifications internationales couvrent l’intégralité de nos clients. Indépendamment de leur taille et de leur secteur d’activité, ils bénéficient de l’ensemble des contrôles requis pour toutes les données personnelles, bancaires ou de santé, même s’ils n’opèrent pas dans ces domaines. En somme, AWS démocratise les technologies de sécurité les plus avancées.

Dans un centre de données classique, un tel niveau de sécurité nécessite un investissement tant financier qu’humain difficile à maintenir dans le temps. Nous l’avons vu avec les affaires récentes de rançongiciels contre les hôpitaux. Ces programmes malveillants s’attaquent d’abord aux organisations dotées des moyens sécuritaires les plus faibles. Le cloud d’AWS met à portée de ses clients la meilleure protection contre les dénis de service, l’accès à des systèmes de détection d’intrusion basés sur l’intelligence artificielle et la possibilité de chiffrer les données qu’ils stockent, sans que cela impacte leur performance. Aujourd’hui, certaines entreprises craignent que le chiffrement massif de leurs données ne s’avère difficile ou coûteux. Ce n’est pourtant pas le cas sur le cloud AWS où, à titre d’exemple, Engie chiffre plus de 90 % de ses données.

Vous nous avez demandé dans votre questionnaire comment nous anticipons les risques d’incendie. Je suppose que la question est liée aux récents événements de Strasbourg. Nous avons une pensée pour les équipes de cette entreprise qui reste mobilisée pour ses clients, et ne cachons pas notre admiration pour les pompiers intervenus sur le terrain.

Tous les centres de données AWS sont équipés de systèmes de détection (de fumée notamment) et d’extinction des incendies (par l’eau ou par le gaz), placés dans les salles serveurs ainsi que les zones techniques avoisinantes. Dans le cas (rarissime) d’un incendie, les données des clients AWS resteraient accessibles, du fait de l’architecture des régions d’AWS. Celles-ci sont composées d’au moins trois zones de disponibilité, c’est-à-dire trois centres de données. En France, nos trois zones de disponibilité (toutes trois en Île-de-France) sont physiquement séparées les unes des autres et se trouvent dans des zones de risques (quand c’est le cas) différents. Chacune d’elles est conçue pour fonctionner avec un haut degré de fiabilité, indépendamment des autres. Leur interconnexion permet aux clients d’architecturer leurs applications de manière à ce que celles-ci basculent automatiquement d’une zone à l’autre sans solution de continuité.

Un exemple concret illustre cette résilience de nos services. Nous avons lancé, voici quinze ans, un service de stockage en ligne : Amazon S3. Les données y sont répliquées automatiquement dans l’ensemble des zones de disponibilité. Six copies sont ainsi effectuées dans trois centres physiquement séparés.

Au-delà de ces aspects techniques, nous proposons une approche complète en termes de sécurité et de protection des données. Nous respectons la souveraineté des données européennes et comprenons que la liberté de choix soit un besoin fondamental de nos clients. Cette liberté revêt plusieurs formes :

– d’abord celle d’une liberté de mouvement. Ce sont les clients AWS, propriétaires de leurs données, qui décident de leur lieu de stockage et de qui sera autorisé ou non à y accéder. Ils gardent aussi la possibilité de les chiffrer, de les déplacer ou de les supprimer ;

– la réversibilité se réfère à la liberté de changer de fournisseur. Elle implique un compromis entre le coût initial de création d’un système et son coût futur de transfert vers un autre acteur. Nous avons contribué à de nombreuses initiatives, telles que le code de conduite sur le portage des données et le changement de fournisseur de cloud (Switching Cloud Providers and Porting Data SWIPO), facilité par la Commission européenne dans le Règlement sur la libre circulation des données non personnelles. Techniquement, AWS propose de nombreuses solutions basées sur des logiciels libres (en open source), de telle sorte qu’il est peu complexe pour nos clients de transférer ou de répliquer leurs données hors du cloud AWS. Nous les y aidons d’ailleurs, car tous les services de synchronisation que nous proposons permettent l’exportation des données ;

– nos clients sont libres de travailler avec des acteurs locaux. Au-delà des services natifs d’AWS, notre cloud permet la mise en place de solutions de type OpenStack, reconnues par le gouvernement français. Nos clients peuvent aussi faire appel à des partenaires français ou européens (Atos ou Devoteam) jouant le rôle de tiers de confiance. Ces sociétés proposent des mesures de sécurité spécifiques au cloud AWS, incluant un second niveau de chiffrement des données avec une gestion des clés externalisée. Elles utilisent des boîtiers cryptographiques exploités en dehors des centres de données AWS.             

La possibilité pour les clients d’AWS de changer de fournisseur quand ils le souhaitent nous force quotidiennement à toujours leur proposer les meilleurs services en répondant au mieux à leurs besoins.

Nos clients demandent surtout qu’AWS se conforme à la réglementation européenne et au RGPD, ce qui est le cas depuis que ce Règlement a été mis en place. Bien sûr, nous nous adaptons aux évolutions de la réglementation : nous avons récemment renforcé nos engagements contractuels suite à l’arrêt Schrems II, en allant au-delà de ce qu’il imposait. Nos nouveaux engagements s’appliquent automatiquement à l’ensemble de nos clients soumis au RGPD, que leurs données soient stockées ou non dans l’Espace économique européen, par le biais d’un addendum consultable en ligne dans nos conditions de service. Nous nous engageons concrètement à :

– notifier à nos clients les demandes d’accès émanant d’entités gouvernementales, européennes ou non ;

– contester ces demandes dès qu’elles entrent en conflit avec la législation européenne ou celle d’un État membre de l’Union européenne, ou qu’un motif de contestation légitime apparaît ;

– au cas où nous serions malgré tout contraints de divulguer ces données, n’en révéler qu’une quantité minimale.

Vous nous avez demandé si notre statut de filiale française ou européenne d’une entreprise américaine nous plaçait hors du champ d’application du Cloud Act. Selon notre analyse, le Cloud Act s’applique à tous les fournisseurs de services de communication électronique et d’informatique à distance soumis à la juridiction des États-Unis, y compris les filiales européennes de sociétés américaines telles qu’AWS et AWS EMEA SARL.

La plupart des sociétés étrangères opérant aux États-Unis (parce qu’elles y ont une filiale, une succursale, des salariés, ou simplement des clients) sont elles aussi soumises à la juridiction des États-Unis. Soulignons que le Cloud Act ne donne pas au gouvernement américain un accès illimité aux données détenues par les fournisseurs de cloud.

Habituellement, AWS utilise les outils à sa disposition pour contester les demandes émanant des États-Unis, portant sur une société domiciliée hors de leur territoire. Nous publions d’ailleurs des rapports dressant la liste de telles demandes. Au second semestre 2020, nous n’avons pas livré au gouvernement américain une seule donnée détenue par une société implantée hors des États-Unis.

L’adaptation constante à la réglementation s’inscrit dans l’ADN d’AWS, et c’est dans cet esprit que nous envisageons les législations européennes (DMA, DSA, DGA) qui devraient être bientôt promulguées.

Pour renforcer sa souveraineté numérique, l’Union européenne a besoin de règles cohérentes et applicables tenant compte des spécificités des services de cloud. Ces règles doivent éviter d’entraver l’innovation et laisser le choix aux clients. Nous partageons l’objectif de la Commission européenne de faire de l’Europe une économie ouverte et numérisée.

M. Julien Groues. La meilleure façon de garantir le succès des entreprises européennes et donc, leur souveraineté, consiste à leur donner accès à la technologie la plus avancée. Les clients ayant migré vers AWS disposent d’à peu près trois fois plus de fonctionnalités, qu’ils fournissent 42 % plus rapidement à leurs propres clients. L’accélération de notre rythme d’innovation permet, in fine, à nos clients d’augmenter leur marge de manœuvre financière ou humaine.

Les services cloud d’AWS proposent aux organisations publiques et privées une large gamme de services d’intelligence artificielle et d’apprentissage automatique. AWS met ces techniques entre les mains de développeurs, experts ou non en Intelligence artificielle, pour qu’ils créent grâce à elles des robots de conversation, des solutions de recherche automatisée d’enfants disparus dans des bases de données d’images, des méthodes d’analyse et de prévision des besoins de maintenance, de détection de défaillances potentielles dans des chaînes de fabrication ou encore de détection de fraudes dans les transactions financières.

La souveraineté passe aussi par les compétences. Voilà pourquoi AWS soutient de nombreux programmes éducatifs dans les universités françaises. Nous faisons en outre bénéficier des start-up de crédits et d’un soutien technologique. Nous soutenons jusqu’aux personnes éloignées de l’emploi. AWS re/Start utilise ainsi le cloud comme un levier de réinsertion et de reconversion professionnelle. Nous travaillons avec des associations locales, des centres de formation et des entreprises partenaires, accueillant les bénéficiaires du dispositif.

Choisir le cloud, c’est en outre, à nos yeux, saisir une opportunité responsable et durable de lutter contre le changement climatique. Nous nous engageons à exploiter nos infrastructures le plus durablement possible. Nous avons cofondé en 2019 The Climate Pledge, nous engageant à être net zéro carbone dans toute l’entreprise d’ici 2040. Nous sommes en voie d’alimenter notre infrastructure cloud mondiale avec 100 % d’énergie renouvelable d’ici à 2025, soit cinq ans plus tôt que l’objectif initialement fixé.

Nous avons économisé plus de 300 000 tonnes d’émission de CO2 par an, ce qui équivaut à planter 400 millions d’arbres, soit 5,7 arbres par Français. Une étude récente a montré que le passage au cloud AWS permet de réduire l’empreinte carbone jusqu’à 88 % ; notre infrastructure étant trois à quatre fois plus efficace sur le plan énergétique que le centre de données médian.

En conclusion, j’insisterai sur la nécessité de ne pas juger une entreprise sur le lieu d’implantation de son siège social mais sur les garanties qu’elle offre aux citoyens et aux organisations françaises.

Ces derniers mois, et cela m’inquiète, nous avons vu des entreprises ralentir leur mouvement vers l’innovation à cause d’une mauvaise compréhension des réglementations numériques. Il ne faudrait pas que s’ouvre une nouvelle fracture numérique. La sécurité et la protection des données sont la base de la numérisation de l’économie. Nous sommes prêts à la soutenir. C’est là notre rôle.

M. Philippe Latombe, rapporteur. Nous avons reçu la semaine dernière IBM France qui nous a déclaré, en tant que société de droit français, ne pas être soumise au Cloud Act. Les divergences d’interprétation sur ce point des grands fournisseurs de services informatiques, de droit américain à l’origine, interpellent forcément nos concitoyens.

Qu’en est-il du Foreign Intelligence Surveillance Act (FISA) ? Comment pouvez-vous aujourd’hui matériellement garantir, au-delà d’une pétition de principe, à des sociétés ou des administrations européennes que le gouvernement fédéral américain n’accédera à aucune de leurs données et que ces données sont stockées en permanence sur le sol européen sans que, pour des motifs de sauvegarde, de vérification ou d’entretien des serveurs, elles migrent en tout ou partie vers le sol américain ?

M. Julien Groues. Selon notre interprétation juridique du Cloud Act, et bien que nous manquions d’expérience, au vu des rares demandes reçues dans ce cadre, celui-ci s’applique à tous les fournisseurs de services de communication et de services informatiques à distance, y compris les entreprises américaines disposant de filiales à l’étranger. Nous estimons qu’il s’applique, de même, aux filiales des sociétés étrangères opérant aux États-Unis.

Pour autant, ce Cloud Act ne donne pas au gouvernement américain un accès illimité aux données. Des contrôles sont mis en place. Nous accordons la priorité à la confidentialité et à la protection des données de nos clients via, notamment, leur chiffrement. Seuls nos clients possèdent aujourd’hui les clés de chiffrement de leurs données, sans lesquelles celles-ci sont inexploitables.

M. Stephan Hadinger. Quand l’un de nos clients choisit de stocker ses données dans une région, à savoir une zone métropolitaine, nous nous engageons à ne pas les déplacer. Il est le seul à pouvoir en prendre la décision. Notre certification allemande C5 résulte d’un contrôle précis de ce point. Les données, même répliquées ou sauvegardées, ne migrent pas vers l’étranger.

Nous proposons à nos clients des briques technologiques en self-service. Ce sont donc eux qui contrôlent la localisation de leurs données en décidant, ou non, de les répliquer d’un pays à l’autre.

Le chiffre que j’ai avancé tout à l’heure de zéro donnée transmise au gouvernement américain me semble éloquent. Il atteste l’efficacité de nos mesures de protection (de chiffrement, notamment) face aux demandes. La possibilité pour nos clients de recourir à des mesures de protection additionnelles auprès d’autres fournisseurs (Atos ou Devoteam) leur assure un niveau de contrôle supplémentaire de leurs données.

M. Philippe Latombe, rapporteur. Vous ne répondez pas tout à fait à ma question sur le FISA, mais nous y reviendrons. J’aimerais vous entendre à propos de deux affaires à l’origine d’une polémique en France. D’abord, celle des données de Doctolib, apparaissant en clair à un moment de la chaîne. Que pensez-vous des inquiétudes qui ont pu en résulter ?

Votre partenariat avec Bpifrance a suscité beaucoup de critiques. Les comprenez-vous ? Comment en tenez-vous compte ? Par quels arguments factuels les contrez-vous ? Comment percevez-vous, à la lumière de ces deux exemples, l’attitude générale vis-à-vis des clouds américains, dont vous faites partie ?

M. Julien Groues. Nous devons aujourd’hui continuer d’informer sur le fonctionnement du cloud AWS, sa sécurité, la mise en place de clés de chiffrement et la création d’infrastructures et d’applications extrêmement sécurisées. Les formations et l’apprentissage de ces technologies revêtent une importance cruciale, puisque c’est grâce à eux que le fonctionnement de nos services devient intelligible. Nous passons beaucoup de temps à expliquer à nos clients comment se doter des meilleurs moyens de sécuriser leurs données et, lorsqu’ils le demandent, nous les aidons à architecturer leurs applications en ce sens.

Nous offrons à nos clients (dont Doctolib et Bpifrance) la possibilité d’utiliser les meilleures technologies au meilleur prix tout en protégeant leurs propres clients. Le 17 février, nous avons ajouté un addendum à nos accords de data processing, renforçant nos engagements sur le traitement des demandes d’accès aux données. Dans sa décision du 12 mars, le Conseil d’État a examiné ce qu’impliquait, notamment par rapport au RGPD, notre statut de filiale d’un groupe américain, soumise à des lois américaines. Le Conseil d’État a estimé de son devoir de vérifier le niveau de protection des données personnelles en tenant compte de nos garanties juridiques et techniques. Selon lui, nos engagements contractuels contribuent à une protection suffisante des données face à des demandes émanant du gouvernement américain, en plus des mesures de chiffrement prises par nos clients.

Nous devons continuer en ce sens. Il ne faudrait pas que certaines situations freinent aujourd’hui l’innovation. Nous sommes persuadés que, techniquement et juridiquement, nos clients disposent grâce à nous de solutions sécurisées.

Le choix d’AWS par Bpifrance a fait du bruit. Le projet portait sur la mise en place des prêts garantis par l’État. Nous y avons vu une excellente nouvelle pour les dizaines de milliers d’entreprises ainsi soutenues pendant la crise. Quelques inexactitudes ont été énoncées quant au fonctionnement et à la sécurisation de l’application. Bpifrance conserve aujourd’hui la propriété et le contrôle intégraux de ses données. C’est elle qui décide où et comment celles-ci sont stockées et qui y a accès. Par souci accru de sécurité, Bpifrance chiffre en outre ses données, en mouvement et au repos, et conserve le contrôle absolu des clés de chiffrement, sans lesquelles ses données sont inexploitables.

M. Philippe Latombe, rapporteur. Doctolib vous a choisi parce que vous étiez hébergeur de données de santé

M. Julien Groues. Il faudrait leur poser la question, mais je pense que cela faisait partie de leurs critères de sélection.

M. Philippe Latombe, rapporteur. Étonnamment, le Conseil d’État a considéré les données de Doctolib comme des données personnelles mais non à caractère sensible car elles n’étaient pas, selon lui, des données de santé. Nous interrogerons la CNIL sur son interprétation de ces données ; les différentes catégories de données ne bénéficiant pas du même niveau de protection.

Au-delà des prêts garantis par l’État, il a été question d’un partenariat entre AWS et Bpifrance. Comment percevez-vous le retournement de l’opinion vis-à-vis des géants du numérique américains ? Cette sorte de défiance généralisée vous semble-t-elle totalement infondée ? Viendrait-elle de votre taille ?

M. Julien Groues. Il convient de distinguer la réalité de sa perception. Nos clients se disent ravis de travailler avec nous. Les développeurs adorent utiliser nos technologies pour développer mondialement des solutions innovantes.

Malgré la tendance, en France, à les regrouper, ces sociétés de technologie sont très différentes les unes des autres. Il faut se méfier des simplifications : certaines s’occupent de réseaux sociaux, d’autres, de publicité via la recherche, d’autres encore, de création de téléphones et d’applications. Opérant sur des marchés différents, elles apportent des contributions différentes à la valeur.

Le cœur de métier d’AWS reste la fourniture de services cloud. Nous investissons énormément en France. Depuis quelques années, nous avons ouvert des bureaux à Paris, Lyon, Toulouse, Nantes, Lille. Nous recrutons chaque année un grand nombre de personnes et servons des dizaines de milliers de clients.

Nous allons poursuivre nos efforts pour accompagner nos clients et les former à l’utilisation des technologies du cloud. Celles-ci ont permis aux entreprises françaises de passer au télétravail très rapidement sans solution de continuité. Certains de nos clients ont migré vers le cloud en quelques jours sans que leur activité en soit impactée. Ils ont réduit leurs coûts ; leurs techniciens restant dès lors libres de travailler au développement de nouvelles applications. Nous avons répondu aux besoins en puissance de calcul ou en espace de stockage de fournisseurs de cours en ligne, par exemple.

Selon moi, il faut continuer ce processus de formation et d’accompagnement. Les polémiques s’éteindront alors rapidement.

M. Philippe Latombe, rapporteur. On reproche, à AWS, mais non à elle seule, ses méthodes commerciales : vous fournissez facilement des vouchers et, bien que la réversibilité ne pose techniquement pas de problème, du fait de vos conditions tarifaires, il est moins cher de déposer des données chez AWS que de les récupérer.

D’autres critiques vous reprochent un lobbying actif, voire agressif. Le revendiquez-vous ? L’assumez-vous ? Estimez-vous nécessaire de modifier votre fonctionnement pour remédier à une telle perception ? GAIA-X visait à l’origine la création d’un cloud souverain européen. Votre appartenance à une telle initiative soulève des questions.

M. Julien Groues. Je reviendrai d’abord sur la partie commerciale de votre question. Aujourd’hui, nous comptons en France des dizaines de milliers de clients. Ils utilisent nos services à la demande et reçoivent une facture mensuelle de ce qu’ils ont consommé, ni plus ni moins, en fonction d’une liste de tarifs publiée sur Internet. Ce sont eux qui choisissent les services qu’ils utilisent et la quantité de données qu’ils stockent. Aucun contrat d’engagement ne les lie à nous. En termes de réversibilité, on ne peut pas faire mieux.

Aucun contrat (de licence ou autre) ne bloque nos clients dans nos infrastructures. Nous appartenons d’ailleurs à des groupes, évoqués par M. Stephan Hadinger, facilitant les transferts. La plupart de nos technologies sont basées sur de l’open source, ce qui facilite le basculement vers d’autres clouds.

Nos clients souhaitent surtout rapidement innover et donc bénéficier dans les meilleurs délais des technologies les plus récentes. On constate, en France et dans le reste du monde, un basculement massif des entreprises de systèmes propriétaires avec licences vers de l’open source. Elles réalisent ainsi des économies tout en renforçant la sécurité de leurs infrastructures, dès lors plus puissantes.

Nos pratiques commerciales bénéficient à nos clients. Loin de les retenir prisonniers de contrats, nous travaillons quotidiennement pour leur donner envie de nous rester fidèles.

L’initiative GAIA-X permet à nos yeux d’associer les entreprises, le monde de la science et de la politique à la définition des standards des nouvelles générations d’infrastructures de données, à la fois ouvertes, transparentes et sécurisées. Nous souhaitons créer ensemble un écosystème numérique ouvert et compétitif de données. Nous avons rejoint GAIA-X pour aider nos clients à continuer d’accélérer l’innovation autour de la donnée. Comme nombre de nos clients y participaient déjà, il nous a semblé logique de les accompagner. Nous œuvrons dans quatre groupes de travail sur :

– les besoins en architecture et en software ;

– les infrastructures opérationnelles ;

– le stockage et le calcul dans le cloud ;

– les réseaux et les transferts.

Nous nous concentrons aussi sur les certifications.

M. Philippe Latombe, rapporteur. Vous avez fait part de votre crainte qu’une fracture numérique se creuse, à cause des réticences de certaines entreprises à faire appel à vos services, parce que vous ne seriez pas souverains. Avez-vous conscience que votre taille effraie ? Vous et vos collègues d’origine américaine faites figure d’« ogres ». Cette peur que vous suscitez vient-elle selon vous de votre chiffre d’affaires colossal, propre à donner l’impression que vous tuez la concurrence en vous assurant un monopole ?

M. Julien Groues. Gartner estime entre 5 et 7 % la part de l’informatique dans le cloud en France. Toujours selon Gartner, AWS détiendrait 45 % à 47 % de parts de marché dans le cloud, un secteur où œuvrent énormément d’acteurs. Les clients peuvent, soit choisir leur cloud provider, soit continuer à construire leurs propres centres de données avec des fournisseurs de hardware ou de software. Nos partenaires souhaitent accéder aux meilleures technologies pour en tirer profit. Depuis le lancement d’AWS, voici plus de quinze ans, plus de 80 baisses de prix de nos services ont été constatées, or nous n’en avons interrompu aucun.

M. Philippe Latombe, rapporteur. Je me livre à un rapide calcul : AWS représente 51 milliards de dollars de chiffre d’affaires annuel. Votre objectif consiste-t-il à garder votre part (45 % à 47 %) de ce marché en pleine croissance ?

M. Julien Groues. Notre objectif est de continuer à écouter nos clients et leur fournir le meilleur de la technologie pour qu’ils continuent d’inventer de nouveaux modèles d’affaires. Les start-up comme les grandes entreprises mènent à bien, rapidement, des innovations qui transforment positivement notre manière de travailler autant que notre mode de vie. Notre culture d’entreprise consiste à les accompagner en ce sens.

M. Philippe Latombe, rapporteur. Comprenez-vous que cela fait peur ? En cas de triplement des entreprises dans le cloud, votre chiffre d’affaires exploserait, dépassant éventuellement le budget d’un certain nombre d’États.

M. Julien Groues. Je ne sais pas si cela fait peur. Tant que nous resterons complètement transparents sur nos activités, nous pourrons continuer d’accompagner tout l’écosystème du cloud dans sa transformation.

M. Philippe Latombe, rapporteur. Pourriez-vous nous en dire plus sur la partie formation ?

M. Julien Groues. Nous ambitionnons de former tous ceux qui le souhaitent aux technologies du cloud. Certaines de nos formations visent les entreprises, véritables viviers de talents en France. Nous aidons leurs employés à s’approprier les technologies du cloud pour mieux innover. Nous touchons aussi les intégrateurs, entreprises de services du numérique (ESN), à qui nous transmettons les compétences en matière de bonnes pratiques et de sécurité nécessaires à l’accompagnement de leurs propres clients. Nous formons aussi les étudiants en informatique de manière à ce qu’ils arrivent sur le marché de l’emploi, prêts à contribuer à la transformation des entreprises françaises. Enfin, le cloud offre une fantastique opportunité aux personnes éloignées de l’emploi d’apprendre un métier. Nous avons créé voici dix-huit mois le programme re/Start en France. Nous assurons, par cohortes, des formations certifiantes de trois mois, avec Simplon, aux technologies du cloud et aux soft-skills qui débouchent, grâce à nos partenaires, sur des embauches.

M. Philippe Latombe, rapporteur. Intervenez-vous, dans ce type de formation, sous la marque AWS ? Le nom de votre entreprise y apparaît-il ?

M. Julien Groues. Oui. Nous assurons auprès des enseignants, dans les universités, des formations validées par des certifications, professionnelles ou non, allant de la compréhension du fonctionnement du cloud aux meilleures pratiques de sécurité. Dans ce cadre, nous intervenons sous notre nom ou via des partenaires certifiés se revendiquant comme des formateurs AWS.

La souveraineté, pour les entreprises et les organisations que nous accompagnons, c’est la possibilité d’explorer de nouveaux marchés et de gagner en compétitivité en bénéficiant du meilleur de la technologie afin de se réinventer en servant au mieux leurs clients.

M. Philippe Latombe, rapporteur. J’apprécierais que vous m’apportiez par écrit une réponse, que j’annexerai au rapport, sur le FISA.

 


—  1  —

Audition, ouverte à la presse, de MM. Olivier Esper, chargé des relations institutionnelles, et Fenitra Ravelomanantsoa, responsable des affaires publiques, de Google France
(18 mars 2021)

Présidence de M. Philippe Latombe, rapporteur.

M. Philippe Latombe, président et rapporteur. Nous recevons les représentants de Google France : M. Olivier Esper, chargé des relations institutionnelles, et M. Fenitra Ravelomanantsoa responsable des affaires publiques.

Google est une entreprise américaine de services technologiques, fondée en 1998 par Larry Page et Sergueï Brin. Filiale de la société Alphabet depuis 2015, elle est présente sur le marché des moteurs de recherche, des applications (avec Android) et du cloud, par l’intermédiaire de Google cloud.

Son positionnement avantageux sur ces segments se situe au cœur de notre réflexion, en lien avec notre préoccupation légitime de protection de la souveraineté numérique nationale et européenne.

Pourriez-vous nous indiquer ce que recouvre pour vous la notion de souveraineté numérique ? Les pouvoirs publics y portent une attention croissante depuis la crise sanitaire. Certains l’apparentent à une forme d’autonomie stratégique ou décisionnelle. Quel regard portez-vous, en tant qu’important acteur américain des marchés des moteurs de recherche, des systèmes d’exploitation et du cloud, sur les diverses définitions qui lui ont été données ? Comment voyez-vous aujourd’hui le marché du cloud ? Comment anticipez-vous son évolution au cours des prochaines années ? Quel regard portez-vous sur les pratiques des entreprises privées et des acteurs publics clients de vos solutions ? Quels sont leurs besoins et attentes ? Ont-ils évolué avec la crise sanitaire ?

J’aimerais aussi vous entendre sur l’initiative GAIA-X, dont vous êtes membre, qui vise à garantir le multicloud, la sécurité des données et l’interopérabilité des services.

Comment, en outre, vous positionnez-vous par rapport aux initiatives européennes de régulation du numérique (Digital Services Act, Digital Markets Act et Data Governance Act) ?

J’aimerais enfin vous entendre à propos des enjeux liés à la protection des données, dans un contexte où l’extraterritorialité du droit américain pourrait menacer les garanties offertes par le droit européen. Qu’impliquent selon vous le Cloud Act et l’invalidation du Privacy Shield par l’arrêt Schrems II de la Cour de justice de l’Union européenne (CJUE), notamment en cas de demande de transmission de données par les autorités américaines ?

M. Olivier Esper, chargé des relations institutionnelles Google France. Je commencerai par vous présenter rapidement les activités de Google en France avant que mon collègue ne vous parle du cloud, qui vous intéresse plus particulièrement.

Google emploie en France un peu moins de 1 500 personnes basées pour la plupart à Paris. Ce chiffre a doublé depuis trois ans. L’entreprise, en phase d’investissement, a ouvert, en septembre 2018, en plus de son centre de recherche et développement employant déjà des ingénieurs, un centre de recherche en intelligence artificielle. Sa création a été annoncée par le PDG de Google au côté du Président de la République en janvier 2018 à l’occasion du premier sommet Choose France destiné aux investisseurs étrangers.

Ce nouveau centre regroupant une centaine d’ingénieurs a noué des liens avec l’écosystème de la recherche en France par le financement d’une chaire à l’école polytechnique ainsi que par un partenariat avec le PaRis Artificial Intelligence Research InstitutE (PRAIRIE) et l’Institut national de recherche en informatique et en automatique (INRIA).

L’activité de Google en France s’axe, en second lieu, autour de la numérisation des entreprises. Nous contribuons à leur présence en ligne par un programme de sensibilisation et de formation baptisé « atelier numérique de Google ». Il cible en priorité les petites entreprises, puisque c’est souvent là que le bât blesse dans la transformation numérique de l’économie. Il vise aussi les étudiants et les chercheurs d’emploi. Lancé en 2012 avec les chambres de commerce et d’industrie, les universités, Pôle emploi et les missions locales, il a déjà formé plus de 500 000 personnes. Il a notamment aidé de nombreux commerces à s’adapter aux confinements lors de la crise sanitaire en passant au « click and collect ».

Un partenariat s’est noué dans ce cadre, l’an dernier, avec la Fédération française des associations de commerçants. Exclusivement nomade jusqu’en 2019 (des équipes de Google sillonnaient alors la France), notre programme se déploie désormais aussi depuis quatre ateliers numériques physiquement implantés à Rennes, Saint-Etienne, Montpellier et Nancy.

Une formation à la cybersécurité est venue le compléter l’an dernier, là encore à destination des petites entreprises, en partenariat avec le groupement d’intérêt public cybermalveillance.gouv.fr, que nous avons rejoint, et la fédération de l’e-commerce et de la vente à distance (Fevad). Nous comptons développer dans le même esprit un massive open online course (MOOC) en ligne pour toucher encore davantage d’entrepreneurs.

M. Fenitra Ravelomanantsoa, responsable des affaires publiques Google France. Après une présentation de Google cloud, j’aborderai les tendances dans l’utilisation du cloud computing sur lequel nous souhaitons mettre l’accent, avant de passer à l’approche, par Google cloud, de la souveraineté numérique.

Département de la société Google, Google cloud n’opère que sur le marché B to B, au service, donc, de la compétitivité des entreprises françaises. Nous soutenons l’innovation des petites et moyennes entreprises (PME), des très petites entreprises (TPE) et du tissu associatif. Notre modèle économique, différent de celui de Google, repose sur une souscription payante et implique des engagements spécifiques aux contrats interentreprises.

Google cloud compte plus de 300 collaborateurs à Paris. Le 28 mai 2020 a été annoncée la création de trois centres de données composant une région France pour mieux accompagner le recours croissant des entreprises françaises et européennes au cloud computing. Nous avons récemment noué plusieurs partenariats stratégiques contribuant à la transformation numérique d’entreprises comme Renault ou Orange.

La transformation numérique, dont la crise sanitaire a accéléré le besoin, correspond à un enjeu fondamental pour la compétitivité de nos entreprises. Le recours au cloud en constitue un pilier : c’est pour optimiser leur compétitivité dans les secteurs, respectivement, de la grande distribution et de l’industrie automobile, que Carrefour ou Renault ont fait appel à Google cloud.

Je soulignerai trois tendances actuelles du cloud computing :

–lLe modèle de cloud ouvert qui nous tient à cœur distingue Google cloud de ses concurrents. Nous promouvons entre autres des logiciels open source et des application programming interfaces (API) ouvertes pour que nos clients restent libres de leurs choix en se réservant la possibilité de recourir à plusieurs fournisseurs en même temps, d’opter pour un modèle hybride ou de transporter leurs données de notre infrastructure vers une autre ;

– nous facilitons et démocratisons l’accès des entreprises et des organisations à des technologies de pointe (analyse de données ou encore Intelligence artificielle) ;

– nous travaillons à réduire le plus possible notre empreinte environnementale. Nous sommes neutres en carbone depuis 2007. Depuis 2017, nous nous approvisionnons en électricité à l’aide d’énergies renouvelables à 100 %. Nous comptons ne plus recourir qu’aux seules énergies sans carbone à partir de 2030.

Notre philosophie d’entreprise envisage la souveraineté numérique comme la garantie à nos clients qu’ils contrôlent l’accès à leurs données et restent autonomes par rapport aux fournisseurs de cloud. Notre positionnement spécifique en faveur des technologies ouvertes facilite l’interopérabilité des systèmes comme des données ainsi que leur récupération à l’issue d’incidents. Le contrôle des données apparaît évidemment comme un enjeu fondamental de la souveraineté numérique. Des réunions avec des décideurs politiques, ces derniers mois, nous ont informés de ce que nos clients attendent d’un fournisseur comme nous en matière de souveraineté numérique. Trois éléments sont ressortis :

– le besoin de décider qui aura accès ou non aux données dans notre cloud ;

– la possibilité d’inspecter en toute indépendance ce que font les administrateurs Google des données qui leur sont confiées ;

– la garantie de la survie de celles-ci au cas où nous ne serions plus en mesure d’assurer la continuité de nos services.

En réponse à ces inquiétudes, nous avons défini trois niveaux de souveraineté :

– la souveraineté de la donnée : notre client demeure l’ultime arbitre de l’accès à ses données, grâce au recours à des technologies de chiffrement dont la clé est hébergée hors de notre infrastructure. Nous devons en outre justifier auprès de nos clients nos moindres demandes d’accès à leurs données, qu’ils pourront toujours refuser. Ces technologies s’ajoutent à nos précédentes innovations en matière de sécurité, comme le confidential computing permettant de chiffrer les données, non seulement en déplacement et au repos, mais aussi en cours d’utilisation, donc à chaque étape de leur traitement ;

– la souveraineté opérationnelle permet au client de définir des critères de contrôle de la gestion par Google cloud de ses données, imposant par exemple de ne confier celles-ci qu’à des agents de nationalité européenne ;

– la souveraineté logicielle garantit enfin au client la possibilité d’exécuter son environnement cloud à court ou moyen terme, même en cas de rupture de service de Google cloud, pour des raisons techniques ou de guerre économique. Cela suppose la mise à disposition de nos clients d’un outil d’orchestration comme Anthos.

Notre approche se concrétisera par le partenariat annoncé en novembre dernier avec OVH cloud, qui pourra dorénavant héberger des produits Google cloud. L’utilisation des technologies de pointe de Google dans l’environnement de confiance d’un acteur français du cloud réunira ainsi le meilleur des deux mondes.

M. Philippe Latombe, rapporteur. À quoi le Cloud Act vous oblige-t-il, selon vous, en cas de demande du gouvernement américain d’accéder à des données de sociétés ou d’administrations françaises hébergées sur votre cloud ? Quelles sont les conséquences juridiques, techniques ou commerciales entraînées, de votre point de vue, par l’invalidation du Privacy Shield par l’arrêt Schrems II ? Les demandes de vos clients ont-elles changé depuis ?

M. Fenitra Ravelomanantsoa. La localisation d’une donnée ne constitue pas, selon nous, un critère de sa sécurité. Une donnée n’est sécurisée que par les mesures prises en ce sens lors de son hébergement et de son traitement.

Le sujet de la souveraineté numérique n’est pas propre à la France ou à l’Europe. Nous en discutons avec tous nos clients, y compris hors de l’Union européenne.

Quand des autorités adressent à Google cloud une demande d’accès aux données d’un tiers, notre politique est de la soumettre à une équipe de juristes chargés d’en vérifier la validité (sa conformité à la loi, le statut de l’émetteur et l’ampleur raisonnable des données sur lesquelles elle porte). Quand l’un au moins de ces points ne donne pas satisfaction, nous opposons un refus. Nous nous considérons comme des processeurs sous-traitant des données et non comme leur propriétaire. Nous invitons les autorités qui souhaitent y accéder à en formuler la demande directement au client à qui elles appartiennent.

Quand une demande nous semble recevable, nous notifions son exécution à l’entreprise concernée. Dans le cas contraire, nous nous tenons prêts à la contester devant la justice.

Par souci de transparence, nous publions un rapport semestriel des demandes qui nous parviennent. Celles qui visent les entreprises n’en représentent qu’une très petite part et, parmi elles, les demandes suivies d’effet forment une infime minorité. Google cloud n’a communiqué aucune donnée des entreprises de sa clientèle suite à une demande gouvernementale. Nous n’avons en outre identifié aucune demande d’un gouvernement national en vue d’obtenir des informations sur un autre gouvernement national.

Nous sensibilisons la nouvelle administration américaine aux préoccupations de nos clients européens au sujet des lois de surveillance américaines, de manière à trouver une solution constructive au problème posé par les demandes d’accès aux données stockées dans le cloud.

M. Philippe Latombe, rapporteur. Je puis admettre que la localisation des données n’entre pas, selon vous, parmi les critères de sécurité. L’invalidation résultant de l’arrêt Schrems, les avis rendus par le Conseil d’État et l’affaire Doctolib n’en ont pas moins montré son importance. Pouvez-vous garantir à vos clients le stockage de leurs données dans un pays européen soumis au Réglement général sur la protection des données (RGPD) sans que, pour des raisons de maintenance, de redondance ou de vérification technique, elles soient transférées à l’étranger ?

M. Fenitra Ravelomanantsoa. Nous souhaitons adopter sur ce point la même approche que le RGPD, qui n’a pas interdit mais encadré le transfert de données hors de l’Union européenne. Les travaux résultant de l’arrêt Schrems II ont réclamé, au Comité européen de la protection, des recommandations pour que les fournisseurs de cloud puissent continuer à transférer des données, dans le respect de normes techniques précises. Leur première version correspond à la manière dont nous sécurisons depuis longtemps le transfert de données et les flux internationaux. Nous attendons leur version définitive pour adapter, si besoin, nos pratiques et nos mesures de sécurité.

M. Philippe Latombe, rapporteur. Êtes-vous en mesure de garantir à une entreprise traitant des données sensibles à caractère personnel que celles-ci seront stockées sur des serveurs européens dont elles ne migreront pas ?

M. Fenitra Ravelomanantsoa. La majorité de nos produits permet à nos clients de choisir le lieu de stockage de leurs données. Sans compter que les mesures techniques que nous mettons à leur disposition leur assurent un niveau de sécurité supplémentaire par rapport à la transmission de leurs données à une autorité étrangère.

Concrètement, nous proposons à nos clients de chiffrer leurs données et justifions auprès d’eux nos moindres demandes d’accès, qu’ils gardent la possibilité de refuser.

Les lois extraterritoriales (notamment américaines) s’appuient sur trois critères pour contraindre un fournisseur de cloud à livrer l’accès aux données de ses clients : il faut que le fournisseur de cloud contrôle, conserve et possède la donnée. Comme, techniquement, nous n’avons pas connaissance de la clé de chiffrement utilisée par nos clients, ce critère tombe de lui-même.

M. Philippe Latombe, rapporteur. Je ne dis pas cela contre vous, ou pas seulement, mais comprenez-vous que les citoyens, les entreprises et les États s’interrogent sur le traitement des données par les fournisseurs de cloud ? Avez-vous d’ailleurs conscience de leurs inquiétudes ?

Un certain nombre de procédures ont été engagées contre vous (par la CNIL, notamment, au sujet des cookies). Votre utilisation des données soulève des questions. Le licenciement par Google de spécialistes de l’Intelligence artificielle a fait grand bruit. Comment l’expliquez-vous ? Par l’incompréhension des citoyens ?

M. Fenitra Ravelomanantsoa. En tant que société américaine opérant en France, nous comprenons évidemment les préoccupations au sujet de la souveraineté numérique et de l’utilisation des données. Nous en discutons régulièrement avec nos clients.

C’est d’ailleurs parce que nous les comprenons que nous mettons sur le marché des technologies innovantes de contrôle garantissant une meilleure protection des données. Notre philosophie d’entreprise nous pousse en outre à travailler en partenariat avec des acteurs locaux pour gagner la confiance de nos clients, libres d’utiliser des produits Google hors d’une infrastructure Google. Nous souhaitons avant tout promouvoir et faciliter la transformation numérique des entreprises françaises en couvrant le plus possible de cas d’usage et en offrant un maximum de fonctionnalités.

M. Olivier Esper. Nous comprenons tout à fait que le succès de nos services implique une surveillance étroite de la part des autorités. Nous nous efforçons de répondre aux préoccupations de manière pragmatique, par des solutions concrètes techniquement innovantes. Nous assurons à nos utilisateurs (le grand public ou les entreprises pour ce qui concerne Google cloud) une parfaite transparence : ce sont eux qui contrôlent leurs données.

M. Philippe Latombe, rapporteur. Le développement de la société Google dans nombre de secteurs, en plus du cloud, en amène beaucoup à la juger hégémonique. Il ne s’agit pas là d’une critique. Quel est son objectif de croissance ? Ambitionne-t-elle de multiplier ses secteurs d’intervention dans le champ du numérique ou de se focaliser sur l’un d’eux, comme le cloud ou l’Intelligence artificielle ? La question du démantèlement de Google ressurgit régulièrement. Dans quels secteurs continuerez-vous d’investir en France et en Europe ?

M. Olivier Esper. Google a pour objectif de fournir les services les plus utiles et les plus innovants à ses utilisateurs. L’Intelligence artificielle n’est pas une fin en soi mais un outil de développement de fonctionnalités nouvelles. Google s’en tient à une approche responsable de ces innovations.

Google dresse des bilans réguliers de l’application de ses principes éthiques, d’ailleurs rendus publics, et qui tournent autour de la fairness (la non-discrimination) de manière à éviter tout biais. L’un de ces principes, valable dans tous les domaines d’intervention de Google, touche à la protection de la vie privée. Des équipes de recherche au sein de la société travaillent à son amélioration par des solutions fondamentales telles que la confidentialité différentielle, l’apprentissage fédéré ou l’apprentissage automatique, sans que les données utilisées quittent à aucun moment le terminal.

M. Philippe Latombe, rapporteur. Vous rendez-vous compte que les citoyens n’en ont pas conscience ? La navigation incognito soulève beaucoup de questions.

Quant à votre éthique, de nombreux entrepreneurs estiment que la même fiscalité devrait s’appliquer à tous. Les Google, Apple, Facebook, Amazon et Microsoft (GAFAM) ne paient pas aujourd’hui leur juste part d’impôts. Vous atteignez un tel degré d’hégémonie que vous tuez l’innovation en l’attirant à vous au lieu de la laisser se développer indépendamment. Je ne vous dresse pas un procès d’intention. Je me contente de vous livrer un ressenti général. Votre discours n’est pas de nature à rassurer.

Comment comptez-vous faire passer votre message auprès des citoyens, des États et des entrepreneurs du numérique ? On vous a reproché vos pratiques commerciales. Le coût pour sortir des données de votre cloud s’avère exorbitant rapporté au prix de leur hébergement. Vous distribuez en outre des vouchers aux start-up afin de les capturer parmi votre clientèle. L’intense lobbying des GAFAM, en Europe comme ailleurs, vous a enfin permis de vous introduire dans des projets en principe purement européens comme GAIA-X. Comment répondez-vous à ces critiques ? Quelle preuve avancez-vous que ce que l’on vous reproche ne correspond pas à votre éthique ?

M. Fenitra Ravelomanantsoa. Nous souhaitons mettre en place des partenariats en Europe, conformément aux objectifs de GAIA-X, pour promouvoir l’écosystème du cloud et de l’utilisation de la donnée, mais aussi transférer nos connaissances vers des acteurs locaux avec lesquels nous travaillerons. J’ai cité comme exemple notre ambitieux partenariat avec OVH cloud, permettant d’utiliser des produits Google sur un cloud français. Nous œuvrons aussi avec Thalès à la mise au point de clés de chiffrement extérieures à notre infrastructure.

Nous avons rejoint l’initiative GAIA-X car nous voulons, nous aussi, que l’Europe dispose d’un service cloud de qualité. Nous investissons dans l’Union européenne par la création de quatre nouvelles régions de centres de données, s’ajoutant aux six dont nous disposons déjà. Sur invitation du ministère allemand des affaires économiques et de l’énergie, nous contribuons activement aux groupes de travail techniques de GAIA-X, depuis plus d’un an, leur apportant notre expertise en matière de normes de sécurité et de confidentialité des données.

Notre recours aux technologies ouvertes devrait rassurer quant à notre position hégémonique. Nous nous réjouissons que GAIA-X les promeuve. Nous y voyons un moyen de libérer les clients de leur dépendance par rapport à un fournisseur de cloud donné.

M. Philippe Latombe, rapporteur. Sans méchanceté, je vous signale que Google a une très mauvaise réputation en matière de protection des données. Comment pouvez-vous garantir l’absence de fuite ou de perte des données stockées sur votre cloud et votre opposition aux demandes de communication des autorités américaines ?

Vous l’avez dit : le recours au cloud pose, par principe, une question de confiance. Comment peut-on vous faire confiance alors que des affaires juridiques médiatisées ont mis en lumière vos défaillances en matière de respect de la confidentialité ? Je songe au procès qui vous a été intenté en Californie à propos du mode de navigation incognito. Le partenariat entre OVH, perçu comme le cloud français souverain par excellence, et Google a donné matière à bien des débats dans l’écosystème numérique français. Comment comptez-vous rétablir la confiance ?

M. Fenitra Ravelomanantsoa. Il existe une confusion entre Google et Google cloud, due à la ressemblance entre bon nombre de leurs produits comme Google Drive ou Gmail. Alors que Google s’adresse à des consommateurs, Google cloud se positionne sur un marché B to B. Nous veillons à informer nos clients des moyens de contrôle mis à leur disposition, tels qu’une console administrateur, de manière à les rassurer.

Les sanctions prises par la CNIL ne portaient pas sur des produits de Google cloud mais sur d’autres, à destination des consommateurs.

Nous travaillons en toute transparence, par des audits réguliers notamment, à gagner la confiance de nos clients. Nous disposons des certifications les plus strictes en matière de confidentialité, de sécurité et de protection de données.

M. Philippe Latombe, rapporteur. On vous reproche beaucoup une forme d’évasion fiscale vous assurant un avantage sur vos concurrents. Le recours des GAFAM à des montages fiscaux ressurgit systématiquement dans les discussions autour de la confiance. L’écosystème numérique européen estime ne pas lutter sur le marché à armes égales. Certains réclament dès lors, soit d’abaisser la fiscalité européenne, soit de vous y soumettre.

M. Olivier Esper. Rappelons les faits et les chiffres : Google paie la majorité de ses impôts aux États-Unis puisque c’est là qu’elle est domiciliée. Ces dix dernières années, son taux d’imposition global tournait autour de 20 %, ce qui correspond à la moyenne constatée dans les pays de l’OCDE en matière d’impôt des sociétés. Nous entendons parfaitement les critiques visant les règles de fiscalité appliquées aux multinationales. À peu près depuis que l’OCDE a commencé à se pencher sur le sujet, nous soutenons l’idée de réformer le système de fiscalité actuel.

Pour revenir sur les formations que nous organisons, gratuites et agnostiques (c’est-à-dire ne mettant pas en avant de services ni de produits Google), compte tenu de la situation présente, nous y mettons surtout l’accent sur les commerces et la cybersécurité.

M. Philippe Latombe, rapporteur. Vous vous différenciez en cela de vos collègues d’AWS qui, eux, estampillent les leurs.


—  1  —

Audition ouverte à la presse, de M. Bruno Sportisse, président-directeur général de l’institut national de recherche en sciences et technologie du numérique (Inria)
(18 mars 2021)

Présidence de M. Philippe Latombe, rapporteur.

M. Philippe Latombe, président et rapporteur. Nous recevons M. Bruno Sportisse, président-directeur général de l’Institut national de recherche en sciences et technologies du numérique (Inria).

Établissement public à caractère scientifique et technologique (EPST), l’Inria soutient la recherche et l’innovation numérique en France et en Europe depuis cinquante ans. Il rassemble une large communauté scientifique (près de 200 équipes-projets réunissant 3 500 scientifiques). Sans entrer dans le détail de ses différentes actions, je signalerai son rôle central dans la stratégie française en matière d’Intelligence artificielle, son soutien au développement de l’écosystème technologique et enfin son engagement en vue du partage des connaissances et des compétences numériques, via le Class’Code notamment.

Je vous poserai d’abord la question rituelle qui ouvre chacune de nos auditions : que recouvre selon vous la notion, assez vaste, de souveraineté numérique ? Les pouvoirs publics y portent une attention croissante depuis la crise sanitaire. Nous en avons entendu de multiples définitions. Certains la rapprochent d’une forme d’autonomie stratégique ou décisionnelle. Comment l’appréhendez-vous personnellement ? Comment l’action de l’Inria contribue-t-elle à la promotion de notre souveraineté numérique nationale ou européenne ?

Je vous interrogerai en second lieu sur les forces et les faiblesses de la France et de l’Europe dans votre domaine de compétence, c’est-à-dire les technologies numériques (cloud, Intelligence artificielle, etc.). Votre positionnement d’acteur de la recherche soutenant par ailleurs le développement de start-up technologiques me semble conférer une pertinence particulière à votre point de vue. L’écosystème numérique français rencontre-t-il selon vous des difficultés que nous pourrions contribuer à lever, le cas échéant ?

Nous souhaiterions aussi un point d’étape sur la stratégie nationale en matière d’Intelligence artificielle, où l’Inria joue un rôle clé. Nous n’ignorons pas que les instituts 3IA ont dû faire face à la crise sanitaire dès le lendemain de leur implantation.

Enfin, j’aimerais que nous échangions sur l’une de vos thématiques de recherche : la cybersécurité. L’actualité est régulièrement marquée par la révélation de cyberattaques de plus en plus sophistiquées. La crise sanitaire a donné une visibilité nouvelle aux menaces qu’elles font peser sur la France. Quelles réflexions vous inspirent-elles, tant du point de vue de la formation, de l’acculturation des acteurs privés et publics, qu’en termes de doctrine stratégique, de capacité d’action et de réaction ? Nous aborderons, à partir de là, plus généralement, la transmission des savoirs et des compétences numériques, qui doit constituer une priorité pour notre pays.

M. Bruno Sportisse, président-directeur général de l’Inria. L’Institut national de recherche en sciences et technologies du numérique occupe, du fait de certaines de ses spécificités, une place unique dans le paysage français et européen de la recherche, où il n’existe pas d’autre organisme national de recherche entièrement dédié au numérique. Placé sous la double tutelle des ministères de la recherche et de l’industrie, il porte, de longue date, une attention soutenue à sa mission en matière de souveraineté. Il repose sur un modèle organisationnel unique d’une extrême fécondité dans le champ du numérique.

L’unité de base n’en est autre que l’équipe-projet. Cette structure de petite taille, groupant quinze à vingt personnes, se concentre sur un projet de recherche et d’innovation, explicité par une feuille de route, pendant une période de quatre ans, à l’issue de laquelle ses travaux sont évalués. Son agilité permet à l’équipe-projet d’avancer sur un sujet précis en produisant des résultats. Elle se prête en outre aux partenariats aussi bien académiques qu’industriels. L’Inria compte 220 de ces équipes-projets, dont 90 % communes aux grandes universités de recherche françaises. Elles emploient près de 3 500 chercheurs, enseignants-chercheurs, ingénieurs, doctorants et post-doctorants, répartis sur neuf centres de recherche dans tout le territoire.

En plus de ces équipes-projets, l’INRIA porte des dispositifs destinés :

– à exercer un impact, notamment économique, sur l’ensemble de la recherche publique, dont nos partenaires ;

– à la production de contenu en ligne massif de type massive online open course (MOOC) au travers de l’Inria Learning Lab ;

– au développement de plateformes technologiques (InriaSoft) ;

– à la formation continue au logiciel à destination du tissu industriel avec Inria Academy ;

– et, enfin, à l’accompagnement à la création de start-up technologiques par le biais d’Inria Startup Studio.

L’actualité de l’Inria est marquée par deux dynamiques cohérentes.

La première n’est autre que la signature, le 18 février 2020, par Mme Frédérique Vidal, ministre de l’enseignement supérieur, de la recherche et de l’innovation, et M. Cédric O, secrétaire d’État en charge du numérique, d’un nouveau plan stratégique de l’Inria, sous la forme d’un contrat d’objectifs et de performance couvrant la période de 2019 à 2023.

L’Inria y est présenté comme le bras armé de l’État pour construire, par la recherche, la souveraineté numérique de la nation, comme l’indique le préambule : « l’ambition stratégique de l’Inria est d’accélérer la construction d’un leadership scientifique, technologique et industriel, dans et par le numérique, de la France engagée dans la dynamique européenne. L’Inria doit ainsi assumer qu’il est un outil de la souveraineté et de l’autonomie stratégique numérique de la nation. ». Ce positionnement n’est pas anodin dans le contexte académique aussi bien national qu’international. Quatre axes structurent ce plan stratégique :

– La cristallisation de moyens, en fonction de choix scientifiques, sur des thèmes stratégiques à la composante technologique pleinement assumée : la cybersécurité, une Intelligence artificielle de confiance au bénéfice de notre industrie et l’informatique quantique. À ces thèmes d’actualité dans le plan de relance, s’en ajoutent d’autres, d’application du numérique à la santé et aux objectifs de développement durable. Ceci pose d’ailleurs le problème de la frugalité du numérique et de son empreinte énergétique sur l’environnement ;

– L’Inria doit accorder la priorité à son impact économique sur le tissu industriel français au travers de ses partenariats bilatéraux, de ses équipes-projets communes avec des industriels français, de la formation continue par le transfert de compétences et, enfin, de son ambition entrepreneuriale renouvelée. L’Inria compte en effet accompagner 100 projets de start-up de logiciels par an à partir de 2023 ;

– L’appui aux politiques publiques passe par le développement d’infrastructures logicielles critiques grâce à des unités conjointes avec des départements ministériels en pleine transformation numérique. Un bon exemple en est le projet pilote Regalia, en appui de la direction générale des entreprises, en vue de la régulation des plateformes numériques. L’Inria assume en outre un rôle d’assistance à maîtrise d’ouvrage auprès de l’administration et notamment auprès de la direction générale de la santé dans sa gestion numérique de la crise à travers le projet TousAntiCovid, piloté par un consortium public/privé inédit. Les opérations menées par le LabIA conjointement avec la direction interministérielle du numérique ont apporté une expertise scientifique et technologique à des projets portés par des départements ministériels et tournant autour de l’Intelligence artificielle. La mission Inria Défense incarne notre volonté de nouer un partenariat ambitieux répondant aux besoins numériques, et plus largement scientifiques et technologiques liés au numérique, du ministère des armées, en accord avec l’Agence de l’innovation de défense et la toute nouvelle Agence du numérique de défense. Ces exemples montrent qu’il n’existe pas de recette unique en matière de numérique pour soutenir les politiques publiques et qu’on ne saurait se passer d’une pluralité d’approches largement expérimentales ;

– L’axe territorial, d’une importance considérable, place l’Inria au service du développement des grandes universités de recherche sur chacun des sites d’implantation de l’institut. Avant l’été, nos centres de recherche deviendront des centres Inria des universités qui les hébergent, ce qui souligne l’intense participation de notre organisme national de recherche à la dynamique universitaire, en matière, notamment, de formation. Celle-ci constitue l’une des clés de construction de la souveraineté technologique.

La seconde dynamique à se manifester dans l’actualité de l’Inria est bien sûr liée à la forte implication de notre institut dans le plan de relance. L’Inria pilote la partie recherche de la stratégie nationale sur l’Intelligence artificielle, tout en s’engageant pleinement dans les stratégies nationales d’accélération où le numérique joue un rôle clé. À ce titre, l’Inria copilote avec d’autres acteurs, comme le Commissariat à l’énergie atomique et aux énergies alternatives (CEA) ou le Centre national de la recherche scientifique (CNRS), les programmes prioritaires de recherche associés aux stratégies nationales d’accélération en matière de cybersécurité ou encore d’informatique quantique. L’Inria copilote également avec le CNRS et l’université d’Aix-Marseille un programme prioritaire de recherche dédié à la transformation numérique de l’enseignement. L’implication structurante de l’Inria dans les réflexions au long cours sur les stratégies d’accélération (et les programmes de recherche associés en cours d’élaboration) en matière de santé numérique, de cloud et de mobilité intelligente est parfaitement cohérente avec les perspectives stratégiques ouvertes par notre nouveau contrat d’objectifs et de performance.

En somme, notre actualité entre tout à fait en résonance avec les questions qui agitent la mission parlementaire sur la souveraineté technologique et numérique.

M. Philippe Latombe, rapporteur. Revenons justement sur ce terme de souveraineté numérique (française ou européenne). Quelle définition en proposez-vous ?

M. Bruno Sportisse. Vous avez évoqué la notion d’autonomie stratégique, d’ailleurs inscrite en tête de notre contrat d’objectifs et de performance. J’assimile pour ma part la souveraineté numérique à la capacité de maîtriser le cadre de développement de la société numérique, les valeurs qui la fondent et les normes technologiques qui la régissent. Je l’illustrerai par quelques exemples, sachant qu’une telle capacité s’étend à tous les domaines.

Dans la sphère privée, où le numérique apparaît fortement lié à la question des données personnelles, la souveraineté numérique implique de savoir qui maîtrise ces données. Elle revient à les encadrer au niveau juridique et législatif. Je songe au Règlement général sur la protection des données (RGPD). L’existence d’un tel cadre, en tant que telle, ne suffit pas. Encore faut-il s’assurer de son application, ce qui ne va pas sans implications technologiques. C’est le sens de notre partenariat avec la Commission nationale de l’informatique et des libertés (CNIL).

Il en est de même dans la sphère de l’éducation, où l’enjeu consiste à déterminer qui accédera aux contenus et aux plateformes. En matière de santé où le numérique joue un rôle croissant dans l’aide à la décision et au diagnostic, la souveraineté implique de décider qui définit les algorithmes utilisés et à partir de quand ces algorithmes d’aide au médecin se substituent à lui dans une partie de son métier. Il s’agit là d’une question éminemment politique, qu’il conviendra de trancher à l’issue d’un débat. Il est en tout cas impératif de maîtriser les technologies en jeu pour apporter une réponse adéquate. Il faut en outre impliquer des acteurs industriels français et européens si l’on ne veut pas se contenter de postures incantatoires. La remarque s’applique à l’ensemble des politiques publiques où le numérique joue un rôle clé en lien avec des données ou l’aide à la décision. Quels sont les outils mobilisés ? Selon quels algorithmes les politiques publiques s’orientent-elles dans telle direction plutôt que telle autre ?

La souveraineté numérique nécessite, selon moi, d’agir dans deux directions.

La première, de laquelle dépend tout le reste, vise à s’assurer un vivier de talents et de compétences. La transformation numérique ne se réussira pas autrement. Du fait que le numérique évolue en permanence, il est nécessaire de se former à ces changements tout au long de la vie. Si j’aborde en premier lieu l’enjeu de la formation initiale et continue, c’est parce qu’il constitue d’après moi la clé de voûte de toute politique à mener dans ce domaine.

Il faut s’attaquer au problème par la base en attirant plus de jeunes vers les filières scientifiques et technologiques, puis en poussant une part significative d’entre eux vers le numérique. Il faut ensuite mettre à profit leur expertise de haut niveau, sanctionnée par des diplômes de master et au-delà, pour construire les prochaines révolutions numériques en évitant la captation des compétences par les Google, Apple, Facebook, Amazon et Microsoft (GAFAM) et les Baidu, Alibaba, Tencent et Xiaomi (BATX). Sans combattants, nous ne mènerons pas la bataille pour la souveraineté numérique.

Nous devons en second lieu diriger notre action sur les infrastructures critiques, dont un certain nombre sont bien connues. On met généralement en avant les moyens de calculs en tant qu’exemple d’infrastructure numérique clé, ce à quoi je souscris entièrement. S’y ajoutent, de mon point de vue, les infrastructures logicielles, moins palpables et moins aisément visualisables que celles que nous avons l’habitude de considérer comme critiques (routes, télescopes, etc.). Concrètement, il s’agit de systèmes d’exploitation, c’est-à-dire de ce qui rend intelligents les terminaux et les smartphones. Nous avons largement abandonné ce terrain au fil du temps, si bien que quelques acteurs dominants du numérique, tels que Google ou Apple, contrôlent aujourd’hui en grande partie les terminaux et leurs fonctionnalités, à travers Android et iOS. Il faudra absolument réinvestir dans ce domaine.

Les boîtes à outils permettant d’œuvrer dans le domaine de l’Intelligence artificielle fournissent un autre exemple d’infrastructure critique. Pour manipuler des données ou utiliser des algorithmes qui leur apportent de la valeur, il faut des plateformes logicielles. Quelques-unes sont disponibles en open source au niveau mondial. Autour d’elles se constituent des écosystèmes de développeurs de logiciels, de formations et d’entreprises créatrices de valeur.

Bien que ces boîtes à outils soient en open source, celui qui les maîtrise maîtrisera du même coup l’écosystème entier, qu’il pourra orienter dans telle direction plutôt que telle autre, en ayant accès au vivier de compétences. PyTorch fait partie de tels écosystèmes. Facebook y assume un rôle clé. TensorFlow en est un autre et, là, c’est Google qui y joue un rôle majeur. La France a la chance de disposer d’une telle boîte à outils avec Scikit-learn, développée par l’Inria. Il apparaît capital de continuer à soutenir son développement pour rester dans la course. Sinon, demain, ces écosystèmes de compétences en entreprise et de nouvelles perspectives technologiques offertes par l’Intelligence artificielle, passeront entièrement sous le contrôle d’autres acteurs.

Je donnerai un autre exemple d’infrastructure logicielle critique : le futur du web, qui repose sur des technologies logicielles que l’on désigne en général par le vocable de standards ouverts du web. Ces technologies, déterminantes du point de vue de l’interopérabilité, assurent la capacité de naviguer sur la toile. Un certain nombre de standards fixe ainsi un niveau minimal de sécurité des transactions en ligne.

C’est l’organisme de standardisation W3C Europe (World Wide Web Consortium) créé voici une trentaine d’années, et dont je suis moi-même le président, qui les définit en s’appuyant sur trois piliers technologiques : un au Japon, un aux États-Unis bâti autour du Massachusetts Institute of Technology (MIT), et un en Europe qui regroupe des acteurs de la recherche autour de l’Inria.

L’un des enjeux qui se posent actuellement consiste à garantir dans la durée qu’un consortium chargé d’imprimer une direction à l’avenir du web, et donc de décider des valeurs qui le sous-tendront, demeurera dans un cadre multilatéral ouvert, sans passer sous le contrôle d’une poignée d’entreprises. W3C est appelé à déterminer le niveau d’interopérabilité du web et à y imposer des normes en matière de sécurité ou de respect de la vie privée.

De la capacité à mener une politique d’infrastructures logicielles critiques dépend tout le reste. C’est elle qui drainera en effet les talents et les entreprises. Le numérique et sa valeur se construisent autour du logiciel. Pour citer l’un des grands investisseurs de la Silicon Valley, Marc Andreessen : « le logiciel dévore le monde ».

En résumé, celui qui maîtrise les infrastructures logicielles critiques maîtrise l’ensemble de la chaîne de valeur. Le problème vient ici en partie de ce qu’en Europe, l’importance du logiciel n’a, historiquement, pas toujours été clairement perçue.

M. Philippe Latombe, rapporteur. Plusieurs de nos auditions ont porté sur les données de santé. Vous avez vous-même évoqué les algorithmes utilisés dans le domaine de la santé. Faudrait-il nous doter d’un système de validation de tels algorithmes, sur le modèle de ce qui existe déjà pour les médicaments ? Est-il nécessaire de s’en préoccuper dès aujourd’hui ? A-t-on besoin d’une loi pour encadrer ces algorithmes de santé ?

Ces questions valent pour la santé, mais elles pourraient très bien s’appliquer, à terme, à l’Intelligence artificielle. J’ai conscience que ma question porte sur un point très précis mais je profite de nos récentes auditions sur ce thème pour vous la soumettre, puisque vous l’avez mentionné.

M. Bruno Sportisse. Votre question dépasse à mon sens le cadre strict de la santé. Elle revient à s’interroger sur ce que recouvre la notion d’IA de confiance : des algorithmes certifiés, prouvés, validés, s’insérant dans des chaînes de traitement de la donnée. Il faut garder en tête le continuum entre les données disponibles et les algorithmes qui évoluent, justement, en fonction de ces données disponibles et apprennent grâce à elles. C’est l’ensemble de cette chaîne de traitement continue, où l’on assiste à des allers-retours, des échanges et des adaptations entre algorithmes et données, qu’il convient de certifier.

La notion d’IA de confiance s’étend à tout un outillage et à la possibilité de s’appuyer sur des tiers de confiance pour garantir les résultats. Elle englobe aussi des normes et un cadre mis en place par le législateur. Ceci dit, il faut prendre garde, vu la plasticité du numérique et sa rapide évolution, à ne pas lui imposer de règles trop rigides au risque d’empêcher la naissance de l’innovation. C’est là toute la difficulté que pose le numérique : il faut à la fois l’encadrer par souci de transparence, sans pour autant étouffer l’innovation, puisque c’est sur elle qu’il repose, autant que sur la confiance.

Ma réponse s’est éloignée du cadre strict de la santé, dans la mesure où votre question allait elle-même bien au-delà.

M. Philippe Latombe, rapporteur. Pour en revenir aux talents et aux compétences, où doit commencer notre effort ? Les initiatives prises à l’école, au collège, au lycée vous paraissent-elles suffisantes ? Où s’enracine le problème ? Comment amorcer un cercle vertueux qui nous permettrait de disposer des talents et des compétences nécessaires ? Vous paraît-il urgent d’intervenir dès maintenant dans certains domaines ? Quelles actions faudrait-il selon vous mettre en place à moyen et à long terme ?

M. Bruno Sportisse. La question porte sur le flux de compétences qui alimentera l’enseignement supérieur, organisé sous la forme d’une pyramide, dont le sommet correspond aux diplômes les plus élevés.

Elle se pose dans un premier temps pour la base de cette pyramide, qui correspond à ce que les Anglo-saxons appellent Science, technology, engineering, and mathematics (STEM) et que nous désignons par le vocable de « sciences dures ». Tout part du nombre de jeunes de l’enseignement secondaire intéressés par les sciences et technologies, où le numérique fait figure de thématique interdisciplinaire liée à nombre d’autres domaines. C’est la désaffection durable des jeunes pour les sciences et technologies qui doit nous interpeller.

L’Inria s’est engagé voici un an et demi auprès du ministère de l’éducation nationale, de la jeunesse et des sports, par un protocole d’accord que j’ai moi-même signé, dans un programme intitulé « Un scientifique - une classe : chiche ! ». L’Inria le pilote avec d’autres partenaires (universités et acteurs de la recherche). Son objectif est que, d’ici trois ou quatre ans, l’ensemble d’une classe d’âge parvenue en seconde ait eu l’occasion d’échanger avec un ou une scientifique (éventuellement ingénieur) du numérique afin de donner le goût des sciences et technologies par le biais, et dans l’intérêt du numérique.

Le programme vise notamment les jeunes filles. Des statistiques montrent qu’elles pratiquent une forme d’autocensure ou, du moins, témoignent d’une désaffection plus marquée pour ces disciplines scientifiques.

On pourrait penser a priori que l’Inria s’éloigne avec ce programme de sa zone de légitimité. Je ne le crois pas, puisque la priorité doit aller à l’élargissement de la base de cette pyramide de compétences. Ce programme est le premier du genre mis en place depuis ma prise de fonction. Nous avons identifié son objectif de sensibilisation en milieu scolaire comme une préoccupation fondamentale, dont découlera le reste.

Il reste des actions à mener à d’autres niveaux de la pyramide, par exemple, celui des masters dans les domaines touchant aux mathématiques appliquées et à l’informatique. Les entreprises engagées dans la transformation numérique ont, bien entendu, un énorme besoin de talents. Prenons pour hypothèse que, la base de la pyramide une fois élargie, les jeunes poursuivront, en plus grand nombre, un master. Si on ne peut pas garantir qu’une partie de ces diplômés s’engageront dans des travaux de recherche parce que les entreprises, ne pouvant se passer d’eux pour mener à bien leur transformation numérique, les attireront tous à elles, alors nous ne parviendrons jamais à préparer les prochaines révolutions du numérique.

Ce segment du marché du travail connaît une très forte tension. Je ne dis surtout pas qu’il faudrait dissuader des jeunes de rejoindre le monde de l’entreprise. J’ai moi-même été directeur général délégué d’une entreprise de taille intermédiaire du secteur médical en pleine transformation numérique. L’arrivée de talents dans le tissu industriel français relève d’une nécessité vitale. Voilà d’ailleurs pourquoi il faut que tant d’étudiants intègrent des masters. Seulement, si certains d’entre eux ne poursuivent pas une carrière dans la recherche, nous ne serons jamais prêts pour les prochaines évolutions du numérique, qui se renouvelle en permanence.

Si, à un niveau supérieur encore de la pyramide, tous les chercheurs sont happés par les grands acteurs internationaux des nouvelles technologies disposant d’une force de frappe académique comparable, si ce n’est supérieure, à celle de nombreux pays et du secteur public de la recherche, nous ne pourrons pas, là non plus, rester dans la course. Il faut prendre d’autres mesures encore pour que le monde de la recherche continue d’attirer durablement à lui des talents.

Voilà pourquoi je recours à l’image de la pyramide : si la base n’en est pas assez large, des difficultés s’ensuivront à tous les niveaux. Voilà pourquoi aussi il faut mener des politiques dans la durée. Gravir tous les échelons de cette pyramide prend une dizaine d’années. Il s’agit en somme de mener un combat sur le long terme impliquant quantité de parties prenantes : l’enseignement secondaire et supérieur mais aussi les entreprises nationales convaincues de l’importance de disposer d’un vivier de talents et d’être accompagnées par des forces académiques. Des alignements collectifs seront nécessaires.

Venons-en maintenant à la formation continue. Beaucoup d’entreprises du secteur des nouvelles technologies sont déjà parfaitement capables de sélectionner des personnes dotées d’un bagage scientifique (pas nécessairement numérique) pour les former à l’ingénierie du numérique. Nous devons de notre côté mettre en place des programmes similaires, sans parler de la formation continue de ceux qui travaillent déjà dans le numérique, un domaine en constante et rapide évolution, où il faut donc s’adapter en permanence. On le voit : la formation continue apparaît comme un domaine clé.

Ces enjeux de formation sont inscrits dans notre contrat d’objectifs et de performance. L’Inria s’intègre complètement aux dynamiques des universités qui, outre leur rôle de premier plan en matière de recherche, ont une totale légitimité à intervenir dans ces domaines. Les standards internationaux constituent en effet un lien entre recherche et formation de ce point de vue.

M. Philippe Latombe, rapporteur. J’entends bien qu’alimenter la base de la pyramide prendra du temps. Pour autant, voyez-vous, dans l’immédiat, des lacunes à combler parmi les compétences et les talents sur lesquels nous devons nous appuyer ? La mise en place de la politique que vous appelez de vos vœux prendra entre une dizaine et une quinzaine d’années. Repérez-vous dès aujourd’hui des compétences qui nous manqueraient et justifieraient que l’on organise des formations accélérées au cours des deux ou trois années à venir, voire que l’on fasse venir en France des talents à même de nous aider à franchir un cap difficile ?

M. Bruno Sportisse. Je ne pense pas qu’il nous manque des compétences spécifiques dans tel ou tel domaine. Nous devons mener une politique d’attractivité du territoire. Nous y œuvrons notamment dans la première version du plan Intelligence artificielle, au travers d’une action portée par l’Inria et qui s’intitule « Choose France ». Elle consiste en pratique, et nous l’assumons, à cibler les talents que nous attirons en France.

Il ne me semble pas pertinent de chiffrer précisément des besoins en cybersécurité, en Intelligence artificielle, en cloud ou encore en robotique, car le numérique touche à de multiples domaines. On note parfois une tendance à le segmenter alors qu’il s’intègre à d’autres champs de compétences. Les grands acteurs des nouvelles technologies américaines ont, eux, bien en tête les implications, en termes de commerce et d’affaires, des dynamiques scientifiques et technologiques du numérique. Je n’ai donc pas envie de cibler telle ou telle sous-partie du numérique, de telles découpes m’apparaissant le plus souvent artificielles.

En résumé, il convient de mener dès aujourd’hui, ce que nous faisons d’ailleurs, des actions inscrites dans une dynamique internationale en vue de l’implantation en France de talents et de compétences. Des actions de formation continue, souvent perçue comme le parent pauvre de l’enseignement en France, sont également en cours. J’ai déjà évoqué l’initiative de l’Inria en la matière. Il faut savoir inventer, avec des entreprises, des actions pour que des compétences scientifiques puissent évoluer vers des compétences numériques. Je suis extrêmement impressionné par les programmes mis en place dans cet esprit par certains grands éditeurs de logiciels, qui transforment des physiciens, des chimistes ou encore des mécaniciens désireux de changer de branche en développeurs et en ingénieurs du numérique.

Il me paraît par ailleurs important de ne pas s’en tenir à l’idée d’un mur à construire. C’est à mes yeux le flux qui compte. J’ai conscience que tout le monde ne partage pas ma position, mais je ne m’inquiète pas particulièrement d’une fuite des cerveaux, de la recherche publique, vers d’autres acteurs. Il me semble surtout crucial de veiller au maintien constant d’un flux entrant. Il est normal qu’il existe en contrepartie un flux sortant et aussi un flux de mobilité au bénéfice d’un tissu industriel, que j’espère en premier lieu français puis européen. Ce n’est pas en élevant des cloisons que nous résoudrons le problème mais en augmentant les flux, qui devront atteindre un équilibre entre les entreprises et la recherche publique. Les positions que celles-ci partagent apparaissent, dans ce contexte, déterminantes. Plusieurs dispositions récentes, telles que la loi relative à la croissance et à la transformation des entreprises (loi PACTE), facilitent heureusement leur entente.

M. Philippe Latombe, rapporteur. Au sujet de la formation continue, vous avez rappelé que des éditeurs de logiciels sélectionnent des scientifiques aux profils divers pour en faire des développeurs. Vaut-il mieux les laisser agir indépendamment les uns des autres ou vous paraît-il préférable de structurer leurs initiatives ?

M. Bruno Sportisse. Il faut selon moi structurer la filière. Des programmes comme ceux que vous évoquez me semblent une bonne chose. Il ne m’en paraît pas moins bon de les organiser plus systématiquement.

Le sens de ma remarque était que, puisque de grands éditeurs de logiciels parviennent à mener à bien des actions de formation continue, alors il doit être possible de généraliser leurs efforts.

M. Philippe Latombe, rapporteur. La population dispose-t-elle aujourd’hui, selon vous, d’un niveau de connaissances suffisant sur le numérique ? Le terme de fracture numérique a d’abord une acception territoriale, mais n’observe-t-on pas aussi une fracture au niveau des usages et de la compréhension du numérique ?

M. Bruno Sportisse. Je suis entièrement d’accord avec vous. Une politique de souveraineté repose à mon avis sur une dynamique d’innovation, qui repose elle-même sur des viviers de compétences et sur la capacité à comprendre ce que sont les infrastructures technologiques critiques. Il faut aussi s’appuyer sur un consensus politique et citoyen à ce sujet.

C’est en tout cas ce qu’a montré l’année qui vient de s’écouler dans le contexte très particulier de la crise sanitaire. J’ai déjà eu l’occasion de m’exprimer, lors d’auditions devant le Parlement, sur les outils numériques mis en place à cette occasion. Je songe au projet TousAntiCovid que l’Inria a eu l’honneur de piloter auprès de la direction générale de la santé. Il a été mis en œuvre dans un contexte de souveraineté de la politique sanitaire. Il faut être capable de déterminer dans quelles conditions on déploie un tel outil et selon quels paramètres, en s’appuyant sur l’expérience tirée de la gestion de la crise par la France. L’adoption de ces outils par la population s’avère évidemment décisive. On ne peut construire de la souveraineté technologique que sur la base d’un consensus politique et citoyen, c’est-à-dire, qu’à condition que les enjeux du numérique soient bien perçus.

Il faut comprendre ce qu’est le web et ce qui se joue derrière, qui le contrôle et ce qui se passe dans un smartphone. Il faut aussi mesurer l’enjeu du respect de la vie privée et ce qui se cache derrière les mots pompeux de gouvernance algorithmique. Le numérique est présent dans de multiples domaines de la vie quotidienne. Nous avons parlé du rôle des algorithmes dans la santé. Il est capital de savoir qui les détermine. En somme, il faut communiquer sur les enjeux du numérique et les arracher à la sphère de ceux qui détiennent le savoir, à la sphère technologique. Le numérique s’immisce aujourd’hui dans les moindres aspects de notre vie. Qu’est-ce qui se joue à travers le choix d’un outil de visioconférence ? Qu’est-ce qu’implique le recours à Zoom ? Le partage des enjeux du numérique, qui fait désormais partie du quotidien des entreprises et intervient jusque dans les politiques publiques, doit déboucher sur leur compréhension pour que la notion de souveraineté numérique ne s’apparente pas à un bombage de torse ou un concept creux. Elle recouvre en réalité des éléments très concrets.

C’est d’ailleurs la raison pour laquelle, au titre de mes fonctions à l’Inria, suite à un retour d’expérience sur le projet TousAntiCovid, j’ai pris la décision de faire de l’année 2021 celle du dialogue entre les sciences et technologies, et la société, autour du numérique. Je n’aime pas ce terme de dialogue, car les sciences et technologies ne se situent pas hors de, mais bien dans la société. Ceci dit, je n’en dispose pas de meilleur. Voilà en tout cas l’autre pilier de la construction d’une souveraineté technologique, en plus d’une politique d’innovation menée en cohérence avec des acteurs industriels et l’État.

Il reviendra ensuite à la société d’opérer des arbitrages, selon l’importance qu’elle attachera à l’autonomie stratégique et aux enjeux associés. Quoi qu’il en soit, le partage des enjeux du numérique et la compréhension de ce qu’il signifie ne me semblent pas complètement étrangers à la question de la sensibilisation en milieu scolaire évoquée tout à l’heure. Il faut sortir ces problématiques d’un cercle de spécialistes et des milieux d’affaires et dissiper les écrans de fumée dont les entourent certains acteurs du numérique.

La société m’y paraît aujourd’hui préparée. Voici dix ans, dans d’autres fonctions, j’ai été frappé par l’idée fort répandue, jusque dans les états-majors, que le numérique se résumait à une affaire de tuyaux. Le milieu entrepreneurial n’était pas forcément conscient alors qu’avec le numérique se jouaient la maîtrise de la chaîne de valeur, les modèles économiques des entreprises, la relation au client, les cycles d’innovation et de conception des produits et des services, et jusqu’aux politiques en matière de ressources humaines. Voici dix ans, soulever la question du numérique renvoyait encore à une simple consultation avec la direction des services informatiques.

Nous sommes évidemment sortis de cette situation. Il faut étendre une telle évolution au reste de la société, faute de quoi nous ne parviendrons jamais à un consensus sur le sens à donner à la notion de souveraineté numérique. Ce terme pour l’heure encore assez vague n’est pas exempt de connotations péjoratives, à en juger par les dernières tentatives de l’affirmer, pas vraiment couronnées de succès.

Il me paraît fondamental de lui donner une signification, dans la vie quotidienne, qui permette d’en mesurer les enjeux.

M. Philippe Latombe, rapporteur. La France a fait avec TousAntiCovid (à l’origine StopCovid) un choix singulier, la distinguant de certains de ses voisins européens. Existe-t-il des divergences en Europe, aussi bien dans la définition de la souveraineté que dans une forme de soumission (ou de refus de soumission) ou encore dans le développement de solutions ? La France a choisi de se passer des briques iOS et Android, contrairement à d’autres pays. Un tel choix vous semble-t-il révélateur et, si oui, de quoi ? Faut-il en déduire que nous peinerons en Europe à nous accorder sur une vision commune de ce type de sujets ?

M. Bruno Sportisse. La problématique de la souveraineté touche à la volonté politique et la capacité aussi bien de parvenir à un consensus citoyen et politique sur l’ensemble des enjeux que de se donner les moyens de ses ambitions. TousAntiCovid l’illustre parfaitement. Des acteurs industriels et des instituts de recherche s’y sont impliqués ensemble. Ils disposaient des moyens de réaliser leurs ambitions. Celles-ci étaient certes limitées car, dans le cas contraire, nous ne débattrions pas de souveraineté numérique. Cela étant, sans recherche, notamment sur les protocoles ayant permis la création de StopCovid, aucune application mobile n’aurait vu le jour.

La souveraineté numérique suppose donc d’avoir investi dans une politique de recherche et d’innovation. Je répondrai donc à votre question en vous confiant mon sentiment qu’une telle ambition existe bel et bien au niveau européen.

En vertu d’un hasard du calendrier, ce matin a été officiellement lancé le Conseil européen de l’innovation (European Innovation Council, EIC), qui existait en réalité depuis déjà deux ans à l’état de prototype. J’ai l’honneur de siéger à son conseil consultatif et il se trouve que j’ai pris part à sa conception, voici deux ans et demi, dans une mission que m’avaient confiée les ministres Frédérique Vidal, Bruno Le Maire, Mounir Mahjoubi et Florence Parly, à la suite du discours du Président de la République, dit de la Sorbonne, où il appelait de ses vœux la création d’une agence européenne de l’innovation.

Ce Conseil européen de l’innovation assume parfaitement son positionnement d’outil de la souveraineté technologique européenne, selon une ambition d’ailleurs rappelée par les commissaires ou la présidente de la Commission européenne. Le Président de la République, dans son allocution, ce matin, a lui aussi parlé de souveraineté technologique au travers de la planification technologique.

La volonté d’une souveraineté numérique existe selon moi. Seulement, elle doit s’incarner dans des projets concrets. Une période de crise sanitaire ne fournit pas le contexte le plus favorable pour la traduire sereinement dans la réalité et dans la durée. Ceci passera par des actions très concrètes. Nous avons évoqué le plan de relance et l’informatique quantique. Qu’adviendrait-il, en termes de cybersécurité, au cas où un ordinateur quantique verrait le jour ? Il n’est pas envisageable que la France ou l’Europe quittent la course engagée pour garder la maîtrise d’outils de cybersécurité. Il faut s’attaquer à un tel enjeu au niveau français, en coordination avec des partenaires européens.

J’ai évoqué un peu plus tôt les infrastructures logicielles de l’IA. Elles aussi doivent figurer sur des feuilles de route technologiques conçues avec des partenaires européens. Le lancement d’un Conseil européen de l’innovation apporte déjà, en soi, un élément de réponse. En assumant sans ambiguïté l’importance des technologies et des feuilles de route technologiques, il prouve notre capacité à avancer sur de vrais projets.

M. Philippe Latombe, rapporteur. Vous ne souhaitez peut-être pas répondre à ma question, mais, selon vous, pourquoi la France n’a-t-elle pas réussi à entraîner avec elle dans les projets StopCovid ou TousAntiCovid au moins quelques-uns des pays qui l’entourent ? Cet échec s’explique-t-il par l’urgence générée par la crise sanitaire ? Le temps nous aurait-il manqué de soulever toutes les questions voulues et de bâtir ensemble un projet convaincant ? Ou, au contraire, une volonté existait-elle, chez les Allemands notamment, d’opter pour des solutions différentes ?

M. Bruno Sportisse. Je rappellerai d’abord que StopCovid et TousAntiCovid reposent sur des technologies franco-allemandes issues d’un important projet mené au titre d’un programme européen, monté en quelques jours, avec l’ensemble des acteurs européens, autour d’une collaboration de l’Inria avec l’institut Fraunhofer-Gesellschaft. Les protocoles qui en ont résulté sont donc issus de travaux de scientifiques français et allemands.

Par la suite, plusieurs gouvernements souverains ont résolu de privilégier d’autres solutions. Une multiplicité de facteurs sont entrés en jeu. Le contexte d’une crise sanitaire, contraignant à prendre, en l’espace de quelques jours ou semaines, des décisions de poids, ne prédisposait pas à un tel exercice. Par ailleurs, il ne m’appartient pas de commenter les décisions prises par chaque pays. Il me paraît plus intéressant de poser la question à froid, ce pourquoi j’ai rebondi sur le terme de planification technologique employé par le Président de la République dans son discours en honneur du lancement de l’EIC.

Il faut que de grandes feuilles de route technologiques prennent en compte les enjeux que nous devrons affronter au cours des années qui viennent. Celui de l’informatique quantique prendra sa pleine mesure d’ici cinq à dix ans. Quand on parle d’IA de confiance sans se contenter d’effets d’annonce un peu creux, il faut bien songer que se tiennent derrière des socles technologiques et des chaînes de traitement des données couplées à des algorithmes maîtrisés de bout en bout. Des normes et des standards devront encadrer ces technologies. N’oublions pas non plus que les systèmes de détection en cybersécurité, dont nous devrons nous équiper avec nos partenaires, reposent sur des infrastructures logicielles.

La nécessité d’établir des feuilles de route communes sur ces sujets a, selon moi, bien été perçue. Des partenariats se mettront en place, car la volonté d’y parvenir est présente. Les acteurs à mobiliser sont déjà là. Il est enfin admis que parler de souveraineté technologique et de technologie, et des modes d’intervention requis pour la garantir ne revient pas qu’à se gorger de grands mots.

Envoyer une fusée sur la lune ou construire une bombe nucléaire résulte de démarches que nos pays ont été capables de mener à bien lors des cinquante dernières années, et qui se prêtent parfaitement à la planification telle qu’on se la représente d’ordinaire. Le numérique n’obéit pas aux mêmes dynamiques. La planification technologique du numérique s’inscrit dans des logiques d’écosystème où les démarches spontanées, entrepreneuriales et les écosystèmes ouverts jouent un rôle clé.

Il n’en convient pas moins de l’organiser, même si on ne recourra pas pour cela aux mêmes outils que pour envoyer une navette dans l’espace ou mettre au point un dispositif d’armement. Il est d’autant plus impératif d’ordonner la planification technologique qu’elle mobilise une pléthore d’acteurs (de la recherche, de la formation, des start-up, des entreprises, sans compter les usagers) mal coordonnés.

Les feuilles de route bilatérales et multilatérales relatives à des objets technologiques clairement identifiés prennent dès lors une extrême importance. Vous avez évoqué tout à l’heure la stratégie européenne en matière d’Intelligence artificielle. Nous avons fait le choix à l’Inria d’un partenariat stratégique avec un acteur allemand, le DFKI (Deutsches Forschungszentrum für Künstliche Intelligenz GmbH - Centre de recherche allemand sur l’Intelligence artificielle). Nous recourons dans ce cadre à tous les types d’action à notre portée en vue du développement de ces feuilles de route conjointes. Il faut à mon avis aller jusqu’à s’accorder sur une feuille de route technologique autour des infrastructures logicielles critiques que j’ai évoquées plus tôt.

M. Philippe Latombe, rapporteur. On nous informe, ces derniers temps, d’un nombre accru de cyberattaques et surtout de leur niveau technologique de plus en plus avancé. A-t-on suffisamment pris en compte, dans l’espace économique français et européen, la menace qu’elles représentent ? Vous semble-t-il que les entreprises ont intégré ces possibilités de cyberattaques à leur plan de risque, de manière à investir en conséquence ? Ou estimez-vous qu’il reste encore des progrès à accomplir dans ce domaine ?

M. Bruno Sportisse. Je sortirais de ma zone de légitimité en émettant un avis définitif sur ce sujet. L’Inria est engagé dans un partenariat étroit avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La cybersécurité a été le premier des axes stratégiques de développement de l’institut identifié. Nous avons annoncé, M. Guillaume Poupard, le directeur général de l’ANSSI et moi-même, à l’occasion du dixième anniversaire de l’agence, le lancement d’équipes-projets conjointes, ce qui prouve l’intensité de notre collaboration.

Un plan cybersécurité, incarnant une stratégie d’accélération de la cybersécurité, a été annoncé voici quelques semaines. Il repose sur diverses actions portées par l’ANSSI, dont la constitution d’un campus cybersécurité, à l’issue de la mission de M. Michel Van Den Berghe, le dirigeant d’Orange Cyberdefense. Une perspective d’écosystème le sous-tend. Un plan de recherche est en cours d’élaboration. Son pilotage a été confié à l’Inria, au CEA et au CNRS. Il mobilise en tout cas beaucoup d’acteurs, ce qui prouve l’existence d’un mouvement en ce sens.

Quant à savoir si, au cours des cinq ou dix dernières années, la menace des cyberattaques a suffisamment été prise en compte, je ne suis pas habilité à en juger. Je constate en revanche une dynamique extrêmement forte, incluant aussi bien les acteurs de la recherche que les entreprises de toutes tailles, ce qui nous ramène à la question du vivier de compétences.

Il faut pouvoir compter sur des personnes formées à la cybersécurité pour diffuser les technologies et les savoir-faire associés dans toutes les organisations concernées.

M. Philippe Latombe, rapporteur. Comment voyez-vous le rôle d’innovation des GAFAM et leur volonté de promouvoir le développement des nouvelles technologies du numérique, aussi bien en interne que par le biais d’acquisitions ? Faut-il y voir une réelle menace ? Par quel moyen, si ce n’est contrôler ces GAFAM, en tout cas parvenir à un équilibre ?

M. Bruno Sportisse. Vous soulevez la question des écosystèmes. L’emporte dans le numérique, celui qui parvient à construire un écosystème alimenté par des flux : de compétences, comme je l’évoquais tout à l’heure, et de start-up, dans la mesure où une start-up constitue un excellent vecteur technique d’innovation.

Très souvent, un tel écosystème se structure autour d’infrastructures logicielles. Les GAFAM, qui maîtrisent parfaitement ces dynamiques, disposent de leurs propres écosystèmes et y piochent les outils, les talents et les start-up nécessaires au développement de nouveaux produits ou services à commercialiser.

Voilà ce que nous devons à notre tour maîtriser : les ingrédients, les mécanismes de l’innovation dans le numérique – d’où l’importance du renouvellement de nos pratiques dans la durée – et des politiques publiques en faveur de l’innovation. C’est d’ailleurs en vue de la construction d’un écosystème qu’a été lancée la French Tech ou encore qu’a été créé l’EIC, afin de partager le risque au niveau européen. Les stratégies d’accélération du plan de relance vont dans le même sens. Nous devons éviter toute solution de continuité et tout cloisonnement, si nous voulons disposer de véritables écosystèmes technologiques. Par ailleurs, il ne faudrait pas qu’ils soient rythmés par des appels à projets au financement public. Un écosystème doit suivre sa propre dynamique, sur laquelle s’accordent l’ensemble de ses acteurs.

On ne construit pas la souveraineté numérique à coups d’appels à projets, mais grâce à des écosystèmes opérationnels non cloisonnés. Les outils d’intervention de l’État revêtent une importance capitale. Bpifrance a de ce point de vue assumé un rôle majeur ces dernières années par le financement d’écosystèmes où les start-up jouent un rôle clé et dont les acteurs doivent comprendre la nécessité d’une proximité avec les acteurs de la recherche et les universités, de même que celle d’identifier les nouveaux concepts et les équipes dotées de fortes compétences autour de start-up.

Ceux qui ne comprendront pas cette mécanique éprouveront des difficultés à avancer dans le numérique.

Je trouve personnellement que les outils d’intervention français et européens ont très bien évolué dans la durée. Mon propos ne se veut pas lénifiant. Je souhaite seulement faire observer que la dynamique a bel et bien été enclenchée. Reste à voir comment les politiques initiées évolueront au fil du temps. C’est une question de constance. Nous n’en disposons pas moins de tous les ingrédients nécessaires.

M. Jean-Michel Mis. Ma question s’apparente à un constat. Depuis le discours de la Sorbonne, nous voyons qu’une dynamique s’est bel et bien amorcée, comme l’illustrent les annonces de ce matin à propos de l’Agence européenne de l’innovation.

J’aimerais que l’on revienne sur vos propos concernant les acteurs systémiques (GAFAM et BATX) et la possibilité, grâce à l’important fonds de l’agence européenne, de toucher plutôt les start-up ou scale-up à l’origine d’une technologie de rupture susceptible, par un effet d’entraînement, de changer la situation actuelle.

Quel regard portez-vous de ce point de vue sur la feuille de route française ? Nous assumerons la présidence de l’Union européenne au 1er janvier prochain. Est-il encore possible de franchir un palier, au-delà de l’agence, en vue d’une synergie entre souverainetés française et européenne ? Nous comptons en revendiquer notre part en proportion de ce que représentent nos écosystèmes. Comment voyez-vous cette volonté de financer en priorité les deep tech porteuses d’innovations de rupture, dans l’espoir, si ce n’est de combler notre retard, de trouver de nouveaux relais de croissance basés sur des modèles économiques nouveaux ? Estimez-vous la France capable d’incarner une doctrine relative aux enjeux de la souveraineté ?

M. Bruno Sportisse. Il existe une profonde cohérence entre tous ces éléments, d’où mon emploi du terme de planification technologique, utilisé ce matin par le président Emmanuel Macron. Les start-up sont des vecteurs. Ce qui compte, c’est la feuille de route globale qui porte sur quelques grandes technologies. Un travail colossal a été réalisé autour de DigitalEurope au niveau européen. Au niveau français, d’importants efforts ont été consentis au travers du plan de relance. Il en va de même dans d’autres pays. Il faudra bien sûr articuler un effort tel que notre plan de relance avec la feuille de route DigitalEurope et ses instruments comme l’EIC. Tout ceci se joue dès aujourd’hui.

Pour prendre l’exemple de l’Intellligence artificielle, nous avons avancé sur la version 1 de la stratégie nationale en la matière. Une version 2 est en cours d’élaboration. L’un des enjeux n’en est autre que la création de liens avec des partenaires européens. Il faut s’engager à suivre des feuilles de route technologiques conjointes, c’est-à-dire à livrer des résultats concrets dans un horizon de quelques années.

Il ne faut pas se contenter, je m’excuse de revenir encore là-dessus, de réagir à des appels à projets communautaires, mais pouvoir s’appuyer sur tout un écosystème.

Soucieux d’inscrire son action dans le long terme, l’Inria multiplie actuellement les partenariats avec d’autres organismes européens. Se contenter des interventions publiques comporte le risque de l’opportunisme. Les sommes débloquées pour le numérique sont colossales. Un décideur politique doit être en mesure de distinguer ce qui relève de stratégies opportunistes d’accès au financement (dont tous les chercheurs ont besoin), de l’engagement, selon des feuilles de route, d’acteurs coordonnés en faveur de la souveraineté.

Vous avez raison, M. le député, de soulever ce point : nous vivons une année difficile néanmoins intéressante à plus d’un titre. Elle apparaît comme une année charnière, à l’issue de laquelle la présidence de l’Union européenne reviendra à la France au premier semestre 2022, ce qui nous ouvre bien des perspectives. Il faudra d’autant mieux s’y préparer que le rôle moteur de la France dans le domaine numérique est bien connu.

M. Jean-Michel Mis. Vous parliez également de coopération et des implantations régionales de l’Inria. Pourrait-on, selon vous, imaginer, dans les thématiques que nous évoquons, des coopérations interrégionales, ou estimez-vous absurde de réfléchir à l’échelle de bassins géographiques, sachant que nous devons veiller à l’intégrité de nos territoires et ne pas nous contenter, pour cette raison, de quelques « silos » implantés en région parisienne ?

Comment envisager des coopérations de haut niveau qui ne soient pas uniquement politiques, c’est-à-dire qui ne suscitent pas seulement de l’intérêt pour l’innovation ou les ambitions que nous nous fixons en termes de souveraineté ? Peut-on envisager des collaborations réellement pertinentes en Europe en matière de recherche et d’innovation, permettant le maintien, sur l’ensemble des territoires, de ces enjeux technologiques ?

M. Bruno Sportisse. Les cadres de coopération possibles sont multiples. Des enjeux se mélangent, liés à la formation, à la mobilité des talents, aux programmes de recherche, sans parler des enjeux industriels relatifs aux plateformes technologiques. Même si tous sont liés, ils obéissent à des dynamiques subtilement différentes.

La dynamique qui porte l’informatique quantique peut-elle s’épanouir autrement que dans un cadre planifié ? Je ne crois pas trop à la pertinence de la notion de territoire par rapport à cette dynamique précise.

Cela étant, la notion de souveraineté numérique recouvre un tel nombre d’enjeux que les outils de coopération incluent de fait ceux que vous évoquez, dont certains sont d’ailleurs déjà en place. Ainsi, en matière de coopération transfrontalière, le centre Inria de Nancy a noué des partenariats avec d’autres acteurs de la recherche en Sarre, autour de la cybersécurité notamment.

Quoi qu’il en soit, il n’existe pas de recette unique concernant le numérique, où prévaut simplement un plan général supposant le recours à différents vecteurs d’action.

M. Philippe Latombe, rapporteur. Vous viendrait-il à l’esprit d’autres sujets que nous devrions aborder dans notre mission d’information ?

M. Bruno Sportisse. Il me semble que nous avons fait le tour des thématiques auxquelles touchaient vos questions. Je vous enverrai par écrit mes réponses à la partie de votre questionnaire que nous n’avons pas abordée, à propos du rôle de l’Inria et du numérique dans la réponse à la crise sanitaire, au-delà du projet TousAntiCovid. Nous avions mis en place des modes de fonctionnement intéressants en matière de souveraineté.


—  1  —

Audition, ouverte à la presse, de MM. Jean-Claude Laroche, vice-président, et Henri d’Agrain, délégué général, du Club informatique des grandes entreprises françaises (Cigref)
(18 mars 2021)

Présidence de M. Philippe Latombe, rapporteur.

M. Philippe Latombe, président et rapporteur. Nous auditionnons M. Jean-Claude Laroche, vice-président du Club informatique des grandes entreprises françaises (Cigref) et président du cercle cybersécurité de ce dernier, ainsi que directeur des systèmes d’information (DSI) du groupe Enedis. M. Henri d’Agrain, délégué général du Cigref, appartient en outre à la Commission supérieure du numérique et des postes (CSNP), à titre de personnalité qualifiée.

Le Cigref est une association fondée en 1970 par Pierre Lhermitte, dans le but de promouvoir les échanges entre les grandes entreprises et les administrations publiques sur les enjeux du numérique. Il regroupe 150 membres, privés et publics. Il porte, avec d’autres acteurs, le French GAIA-X Hub, dont la première réunion plénière s’est déroulée le 22 janvier dernier.

Je souhaite vous poser trois questions et, pour commencer, une question rituelle de la mission : que recouvre la notion de souveraineté numérique ? Depuis la crise sanitaire, ce sujet fait l’objet d’une attention croissante de la part des pouvoirs publics. Je souhaiterais donc savoir comment le Cigref aborde cette question.

Vous êtes particulièrement mobilisés pour que la France, et surtout l’Europe, sortent de l’« excès d’angélisme » dont elles ont pu faire preuve par le passé, pour citer votre président, M. Bernard Duverneuil. Je suis intéressé par les priorités du Cigref et votre analyse des différentes initiatives européennes dans ce domaine.

Dans un deuxième temps, je souhaite échanger avec vous sur la numérisation des entreprises. Sous l’angle de la demande, quelles sont les attentes et les difficultés des entreprises françaises, mais aussi européennes ? L’offre est-elle en adéquation ? Nous parlerons notamment du cloud et de l’initiative GAIA-X. Nous sommes ouverts à toute proposition permettant d’encourager le recours à des solutions et à des matériels souverains.

Enfin, j’aimerais aborder l’enjeu de la cybersécurité sur lequel le Cigref est en veille constante. L’actualité est marquée par la révélation régulière de cyberattaques et la crise sanitaire a donné une visibilité nouvelle à cette menace qui devient de plus en plus sophistiquée. Je voudrais connaître vos attentes vis-à-vis des fournisseurs de service, mais aussi des pouvoirs publics. Nous avons pleinement conscience que la question cyber est un enjeu de confiance, de sécurité et de coût pour les entreprises, en particulier lorsqu’elles sont victimes d’attaques.

Je souhaite également vous entendre sur le volet formation aux savoirs et aux compétences numériques que nous mettons au cœur de nos travaux, avec des cycles d’auditions qui commenceront dans les jours qui viennent.

M. Jean-Claude Laroche, vice-président du Club informatique des grandes entreprises (Cigref). La souveraineté numérique est, depuis plusieurs années, un sujet d’intérêt pour le Cigref. C’est une question qui fait débat au sein même du Cigref, entre ses différents membres, puisque les grandes entreprises adhérentes ont souvent une activité à l’échelle de la planète, partout dans le monde. La question de la souveraineté ne se pose donc pas de la même manière selon que nous regardons uniquement le périmètre du territoire national ou plus largement l’ensemble de la planète où nous pouvons exercer nos activités.

Pour les entreprises, être souverain signifie réussir à maîtriser ses choix et son avenir dans le domaine numérique. Cela suppose de disposer de composants numériques qui soient auditables et maîtrisés :

– auditables. Cela signifie, lorsque nous avons une relation contractuelle avec des fournisseurs de solutions, de services ou de systèmes numériques, que nous avons besoin de savoir si ces produits ou systèmes répondent à un certain niveau de sécurisation, ce qu’ils font, mais aussi parfois comment ils sont fabriqués par nos fournisseurs ou prestataires.

– maîtrisés. Cela signifie, lorsque nous faisons appel à une solution, que nous sommes très attentifs à ce que celle-ci fasse ce que nous souhaitons et ne fasse pas ce que nous ne souhaitons pas qu’elle fasse, et ce dans la durée.

Voilà comment nous définissons notre capacité à maîtriser les solutions numériques que nous utilisons.

Du point de vue des grandes entreprises et des administrations adhérentes du Cigref, la situation est aujourd’hui une situation d’extraordinaire dépendance. Nous sommes dépendants de toutes sortes d’acteurs et de solutions qui, très souvent, ne sont pas européennes. C’est vrai dans le domaine des logiciels. Typiquement, nous utilisons des systèmes d’exploitation tels que Windows, de Microsoft, et des suites bureautiques de Google ou de Microsoft comme Microsoft Office, Word, Excel, etc. Ces solutions sont américaines. Le moteur de recherche très souvent utilisé est Google. Il en va de même pour les outils de communication, comme vous le voyez bien vous-même, puisque vous utilisez pour la mission sur la souveraineté le produit Zoom. Nous disposons aussi de solutions comme Teams, BlueJeans, Verizon ou Skype, qui sont américaines. Notre dépendance est presque totale.

En ce qui concerne les matériels, la situation n’est guère plus brillante dans la mesure où, par exemple, nos data centers sont très souvent constitués de composants américains. Les routeurs dont sont munis les data centers de nombre de nos adhérents sont souvent de marque Cisco. C’est également vrai pour le matériel qui équipe les bureaux. Les ordinateurs personnels sont souvent fabriqués en Chine, avec des composants américains conçus et parfois développés en Israël.

Est-ce un problème pour notre capacité à maîtriser nos systèmes numériques ? Oui, c’est un problème notamment sur deux volets.

Le premier volet est une certaine fragilité dans la protection de nos informations. Plus nous faisons appel à des solutions tierces, notamment à des solutions développées dans des pays extra-européens et qui sont soumis à des juridictions extra-européennes, plus la protection des informations qui circulent dans ces composants techniques ou dans ces solutions représente un problème pour nous.

Le second volet concerne la supply chain. Au moment de la pandémie, par exemple, un certain nombre de nos adhérents se sont demandé s’ils réussiraient à s’approvisionner en masse en ordinateurs portables pour assurer le passage en télétravail massif des salariés de leurs organisations.

La fragilité de la supply chain et celle de la protection de l’information constituent donc deux questions majeures pour les adhérents du Cigref.

Vous pouvez me dire que ces questions concernent les entreprises, mais qu’elles ne sont pas vraiment des questions de souveraineté. Comment abordons-nous, au Cigref, la question de la souveraineté ? Pour nous, la souveraineté est avant tout un attribut des États, plus que des entreprises. La souveraineté est a priori la capacité des États à exercer leur pouvoir sur une zone géographique donnée et une population donnée mais, évidemment, l’espace numérique est un espace particulier. En effet, la notion de territorialité dans l’espace numérique est différente de celle de l’espace physique. Les notions de frontière n’existent pas, ou pas de la même manière, et je ne parle même pas des questions d’identité. La question de l’identité numérique est une question en tant que telle.

Nous nous sommes donc interrogés pour savoir ce que nous pouvions entendre par souveraineté numérique. Pour nous, la base de l’exercice de la souveraineté dans l’espace numérique est la capacité à assurer la sécurité des biens et des personnes qui fréquentent l’espace numérique, la capacité à assurer la sécurité des activités légales des entreprises et des administrations publiques. Nos adhérents, clairement, ont besoin d’être en sécurité lorsqu’ils utilisent le cyberespace. Ils ont besoin que les autorités nous assurent que nous exerçons nos activités en sécurité, c’est-à-dire que les autorités garantissent l’ordre public dans cet espace. Au fond, les grandes entreprises et les administrations adhérentes du Cigref ont besoin que le cyberespace soit un espace de droit, dans lequel on fasse respecter le droit.

De notre point de vue, il existe un déficit dans la capacité des États – de l’État en France, mais pas seulement – à assurer cette sécurité dans le cyberespace. La capacité des États à assurer une forme de souveraineté sur l’espace de leurs propres ressortissants utilisant le cyberespace est clairement en retard par rapport à la rapidité du développement des usages du numérique et l’augmentation du niveau de dépendance de nos entreprises et de nos économies à l’égard du numérique. Nous avons besoin que les pouvoirs publics développent les outils de la puissance publique pour garantir cette base qu’est la sécurité de l’exercice de nos activités dans l’espace numérique. Cela suppose évidemment une volonté politique.

Dans quelle mesure la crise sanitaire a-t-elle modifié la perception que nous avons de la notion de souveraineté et de nos besoins dans ce domaine ? La crise sanitaire a un peu bouleversé la donne sur deux sujets et d’abord celui des usages. Elle a provoqué une explosion des usages du numérique dans tous les domaines. Cette tendance concerne aussi bien les étudiants qui suivent leurs cours au moyen des outils numériques que les personnes qui ont besoin d’un ordinateur pour accéder aux services de l’administration et parfois même tout simplement pour faire des courses et se faire livrer. Nous avons aussi constaté une explosion du télétravail et il faut des outils numériques pour télétravailler. Nous avons donc besoin de faire transiter de l’information, parfois sensible, à travers des réseaux et des systèmes qui nous permettent de travailler à distance.

Sur le plan des technologies, cette évolution a mis en évidence la centralité du cloud, de l’informatique en nuage, pour pouvoir exercer son activité depuis n’importe quel terminal, depuis n’importe quel lieu, à n’importe quel moment. C’est le cloud qui le permet en termes d’infrastructures. Il s’ensuit le besoin urgent d’un cloud de confiance pour les grandes entreprises et les administrations françaises, de sorte que nous puissions travailler à distance, sur la base d’infrastructures partagées dans le cloud et en toute sécurité.

Que signifie un cloud de confiance ? Volontairement, nous ne parlons pas de cloud souverain, puisque toutes sortes de technologies peuvent se trouver dans un cloud, y compris des technologies américaines, israéliennes… Nous avons essayé de définir un cloud de confiance, d’abord comme un cloud immune au droit extra-européen. Typiquement, il ne faut pas qu’un juge d’un pays extra-européen puisse s’appuyer sur la législation de son État pour aller regarder les données hébergées dans le cloud d’une entreprise qui serait considérée comme extra-européenne et appartenant à cet État.

Deuxièmement, un tel cloud doit être sécurisé avec tout ce que cela suppose en matière de cybersécurisation.

Troisièmement, un tel cloud doit permettre d’entretenir une relation de confiance avec le prestataire du cloud, c’est-à-dire répondre à des besoins de réversibilité – la capacité à récupérer ses données et à les porter ailleurs, dans un autre cloud, pour faire jouer la concurrence – ainsi qu’offrir une véritable portabilité des données et une auditabilité de la solution.

Un tel cloud de confiance permettrait d’héberger également des solutions collaboratives de grands hyperscaleurs américains. Pour nous, le fait que le cloud ait ces caractéristiques ne signifie pas qu’il n’héberge pas de solution extra-européenne ; il pourrait héberger n’importe quel type de solution, mais en les protégeant suffisamment pour que nous soyons assurés, en utilisant ce cloud, de la relative immunité des données qui s’y trouvent.

Nous exprimons également des besoins dans d’autres domaines pour accroître une certaine forme de souveraineté, c’est-à-dire de maîtrise de l’espace numérique. L’État en France pourrait être beaucoup plus volontariste dans la promotion de l’open source. Il offre des solutions parfois tout à fait compétitives comparées aux solutions des grands éditeurs de logiciels, y compris dans le domaine des suites bureautiques. Ces solutions sont utilisées par l’administration, mais il faut en faire une véritable promotion pour que les acteurs autres que les acteurs publics s’en emparent, les utilisent, les apprécient, aident à les améliorer, y compris dans les communautés de développeurs. La promotion de l’open source constitue une des voies qui nous permettrait de limiter notre dépendance à l’égard des grands acteurs extra-européens en matière de solutions logicielles.

Je prends un exemple : nous sommes sur Zoom aujourd’hui. Comment imaginer que, avec de très grandes entreprises de services numériques comme nous en avons sur le territoire national, nous ne soyons pas capables, au niveau national ou européen, de développer une grande solution de visioconférence qui soit largement partagée et utilisée ? Cela nous interroge.

Pour les grands acteurs, la visioconférence est un outil de pénétration auprès de l’ensemble de la population. Tout le monde a besoin d’une visioconférence aujourd’hui. Pour un acteur tel que Microsoft ou Verizon, s’imposer comme ayant la solution la plus facile à utiliser, la meilleure est un vecteur de pénétration extraordinaire et, pour nous, c’est un vecteur de dépendance extraordinaire. Au même titre que l’État a fait un gros effort pour TousAntiCovid, pourquoi ne pas avoir fait l’équivalent pour la visioconférence ?

D’autres aspects nous permettraient d’améliorer notre souveraineté, comme la protection de nos pépites. Nous avons quelques entreprises qui sont de véritables pépites et qui, malheureusement, se vendent au plus offrant pour se développer. Elles se vendent souvent à des acteurs extra-européens.

Je prends deux exemples récents. J’ai été personnellement frappé de voir le rachat de l’entreprise Sentryo par Cisco. Sentryo était spécialisée dans la cybersécurisation des systèmes d’information industriels. Cisco a proposé à Sentryo en la rachetant un financement lui permettant de développer ses activités, mais celles-ci ne sont plus françaises ou européennes. Plus récemment, Alsid qui est également une vraie pépite spécialisée dans la sécurisation des annuaires, des composants sensibles de nos systèmes d’information, a été rachetée par Tenable, une société américaine. La question de la protection et du financement de nos start-up offrant des solutions innovantes touche donc pour nous à la souveraineté.

Enfin, pour reprendre un peu de maîtrise des questions matérielles dans le domaine du numérique, il faut pour nous repartir de la base : l’industrie du microprocesseur. Il faut savoir si, au niveau européen, il y a aujourd’hui matière à relancer une industrie du microprocesseur pour ne pas laisser l’exclusivité de ces domaines à Israël, aux États-Unis et à la Chine.

 Si nous voulons partir à la reconquête d’une certaine forme de souveraineté dans le domaine du numérique, nous pensons qu’il nous faut un véhicule pour ce faire. Nous l’avons fait à la Libération dans le domaine du nucléaire avec le Commissariat à l’énergie atomique. Pourquoi ne pas créer un organisme porteur des enjeux de recherche et développement dans le domaine du numérique ? Il nous permettrait de déterminer dans quels domaines nous voulons investir fortement, de tirer l’ensemble de l’écosystème numérique français et européen autour d’un certain nombre de choix d’investissements lourds. Notamment, si nous voulons redevenir présents dans le domaine des microprocesseurs, cela nécessiterait un véhicule pour y réfléchir et agir.

En introduction, vous avez parlé de la cybersécurité. La sécurisation du cyberespace repose pour nous sur quatre piliers :

– la cybersécurité elle-même, pour laquelle le plan d’accélération cyber de l’État va dans la bonne direction ;

– des questions de police et de justice pour appréhender les cybercriminels, et il nous semble que les moyens de la police et de la justice dans ce domaine ne sont pas à la hauteur du niveau des attaques et des menaces ;

– la question de la lutte informatique offensive et de son articulation avec la cybersécurité, de façon à neutraliser les cybercriminels et avoir la capacité d’aller les chercher pour détruire leur activité. C’est pour nous une prérogative des États, donc un volet de la souveraineté ;

– la sécurité des produits et services commercialisés partout, alors qu’ils ne disposent parfois d’aucun label permettant de s’assurer que ces produits et systèmes ne sont pas vulnérables ou potentiellement utilisables dans le cas d’attaques cyber.

Des textes européens ont été publiés récemment, notamment le Digital Markets Act (DMA) et le Digital Services Act (DSA). Le Cigref n’a pas vraiment étudié le DSA, qui n’est pas directement dans ses préoccupations. Nous avons davantage travaillé sur le DMA.

Enfin, les besoins de formation sont criants en nombre.  Pour former beaucoup plus, il faut intéresser les jeunes gens et les jeunes filles au numérique, y compris très tôt dans les écoles. Les promotions actuellement formées dans ce domaine sont extraordinairement déséquilibrées, essentiellement masculines.

M. Philippe Latombe, rapporteur. Vous avez dit que la souveraineté est l’apanage des États et non des entreprises. En revanche, n’est-ce pas tout de même celui des entreprises, dès lors qu’elles doivent travailler avec des données à caractère personnel, notamment à la lecture des arrêts de la Cour de justice de l’Union et du Règlement généralsur la protection des données (RGPD) ? Cette souveraineté ne devient-elle pas une obligation pour les entreprises dès qu’il s’agit des données personnelles ?

M. Henri d’Agrain, délégué général du Cigref. Il ne s’agit pas de séparer les responsabilités des entreprises de la responsabilité des États en matière de souveraineté. Pour le Cigref, lorsqu’une entreprise se pose la question de sa propre souveraineté, le premier point concerne la maîtrise de ses dépendances et le deuxième l’utilisation de solutions maîtrisables et auditées. C’est le cœur de la souveraineté vue d’une entreprise.

En revanche, lorsque les entreprises disent que la souveraineté est d’abord un attribut des États, elles pensent à celui qui dispose de la compétence de régulateur et doit assumer ses responsabilités. Il s’ensuit, bien entendu, pour les entreprises, des obligations réglementaires, légales. Il ne s’agit pas de contester leur responsabilité pour traduire dans leur fonctionnement les obligations réglementaires qui s’imposent à elles, notamment dans le domaine des données personnelles.

M. Jean-Claude Laroche. S’agissant du RGPD, nous appliquons un texte qui s’impose à nous, mais dont nous ne sommes pas les initiateurs. Discuter, voter, promulguer et faire appliquer un texte de cette nature est de la responsabilité des États et du législateur, non des entreprises. En revanche, les entreprises ont la responsabilité de se mettre en conformité avec le texte, et c’est ce que nous essayons de faire.

M. Philippe Latombe, rapporteur. L’invalidation du Privacy Shield par la Cour de justice de l’Union nécessite-t-elle une clarification sur un certain nombre de sujets ?

M. Jean-Claude Laroche. Nous sommes dans une zone d’incertitude extrêmement préjudiciable à nos activités. Typiquement, un DSI comme moi devant héberger des données personnelles et voulant faire appel à une solution américaine aurait, depuis l’invalidation du Privacy Shield, de démontrer que la protection des données par l’entreprise extra-européenne choisie est au moins du même niveau que celle imposée sur le territoire européen par le RGPD. Toutefois, la relation contractuelle que peut avoir un adhérent du Cigref avec un hyperscaleur comme Amazon Web Services, Microsoft ou Google est une relation du faible au fort. Il est évident que, même avec le maximum de « blindage juridique », il est extrêmement difficile de démontrer que Google exercera sa propre activité, dans ses propres data centers, sur un territoire extra-européen, dans des conditions me permettant, à moi DSI d’une entreprise française, de garantir que le niveau de protection des données est équivalent à celui du RGPD.

Cette invalidation transfère aux responsables des entreprises françaises une responsabilité qu’ils ne sont pas capables d’assumer et pour laquelle ils ne disposent pas des outils juridiques qui leur permettraient d’être sereins.

Les entreprises qui avaient déjà hébergé des données à caractère personnel dans des clouds américains se trouvent dans une espèce de vide juridique avec des risques pour elles. De notre point de vue, cette situation mérite une clarification et plonge dans l’insécurité les entreprises potentiellement utilisatrices de solutions dans des clouds extra-européens.

M. Henri d’Agrain. L’invalidation du Privacy Shield a plongé l’ensemble de nos adhérents, qu’il s’agisse des entreprises publiques ou privées, dans une situation de grave insécurité juridique. Nous avons posé plusieurs fois la question aux autorités publiques, tant françaises qu’européennes, pour demander une analyse de risque de la situation et l’élaboration de recommandations pour les entreprises. Les quelques recommandations que nous avons pu obtenir, notamment de la part de la Commission nationale informatique et libertés (CNIL), ne sont pas rassurantes sur la capacité des entreprises à les mettre en œuvre.

M. Philippe Latombe, rapporteur. Au niveau européen, des recommandations sur la protection des données ont été émises récemment. Ne vous suffisent-elles pas aujourd’hui ? Avez-vous besoin de clarifications supplémentaires ?

M. Henri d’Agrain. Absolument.

M. Jean-Claude Laroche. C’est l’une des raisons pour lesquelles le Cigref met autant d’énergie à animer les réflexions liées à GAIA-X, d’une part, et, d’autre part, à promouvoir l’idée qu’il faut aller rapidement vers un cloud de confiance. Nous ne pouvons pas rester durablement dans cette situation. Le cloud est l’instrument du numérique d’aujourd’hui et de demain. Il faut pouvoir l’utiliser de manière sereine, en se disant que les données mises dans le cloud sont suffisamment protégées. Nous avons besoin d’une offre industrielle qui permette d’assurer un niveau de confiance suffisant dans le cloud. Ce niveau de confiance n’existe pas aujourd’hui et le niveau d’insécurité a augmenté avec l’invalidation du Privacy Shield.

M. Philippe Latombe, rapporteur. Nous avons auditionné deux des trois plus grands clouders américains, Amazon Web Services (AWS) et Google. Les deux ont tenu des propos extraordinairement rassurants, expliquant à quel point ils étaient intégralement en conformité avec la réglementation et ne comprenant pas pourquoi nous nous posions encore des questions.

Nous avons même eu la semaine dernière une interprétation d’IBM nous disant : « Nous ne sommes pas américains, nous sommes français puisqu’IBM France est une société de droit français. »

AWS et Google nous ont confirmé que, pour eux, toute filiale européenne des groupes américains était soumise au Cloud Act comme tout le monde. Cette analyse générale, était la nôtre. En revanche, ils nous ont dit et redit ne pas comprendre pourquoi nous posions la question de zones d’incertitude.

M. Henri d’Agrain. Le 16 juillet dernier, la Cour de justice de l’Union européenne n’a pas invalidé le Privacy Shield au titre du Cloud Act, mais au titre de l’article 702 du Foreign Intelligence Surveillance Act (FISA).

Cela n’a rien à voir avec le Cloud Act Lorsque des entreprises comme IBM vous disent être immunes face au Cloud Act, ce n’est pas vraiment le problème, notamment pour des entreprises globales. Les entreprises globales qui ont des activités aux États-Unis sont de toute façon américaines aux États-Unis et donc soumises directement à la réglementation américaine. Le principal problème pour les entreprises provient de réglementations très intrusives comme l’article 702 du FISA, ainsi que l’a très justement reconnu la Cour de justice de l’Union européenne.

M. Jean-Claude Laroche. D’autres législations américaines sont susceptibles de poser de graves problèmes à nos adhérents. Le Foreign Corrupt Practices Act (FCPA) permet à un juge américain de rechercher des échanges de mails entre personnes d’une même entreprise pour, par exemple, convaincre de corruption quelqu’un qui, arrivant sur le territoire américain, se ferait arrêter sans même comprendre pourquoi. Ce type de pratique plonge les dirigeants de nos entreprises dans une insécurité majeure.

M. Henri d’Agrain. C’est à ce titre que les adhérents du Cigref estiment qu’une partie significative de leurs données nécessitent des outils de confiance pour être hébergées et traitées dans le cloud. Ce ne sont pas uniquement des données personnelles, mais des données de toutes natures, stratégiques, financières, commerciales, contractuelles ou relevant de la propriété intellectuelle, de la recherche et développement.

Ces offres d’hébergement ne sont malheureusement aujourd’hui pas disponibles sur le marché. C’est pourquoi nous faisons la promotion du cloud de confiance auprès des pouvoirs publics, de nos partenaires européens et de l’Union européenne, dans le cadre de GAIA-X. Nous avons la conviction que le cloud ne constitue plus une technologie parmi d’autres, mais la technologie qui commande toutes les autres.

Les autres technologies, qu’il s’agisse du edge computing dont la Commission européenne parle beaucoup, de la 5G, de la 6G, de l’intelligence artificielle ou le quantum computing, se développeront de toute façon sur le cloud et ce dernier les commande.

Si la France et l’Europe veulent restaurer une forme de souveraineté, il faut commencer par se doter des fondements de ce qu’est le numérique : des processeurs souverains et un cloud souverain.

M. Philippe Latombe, rapporteur. Où en sommes-nous aujourd’hui de la numérisation des entreprises, en France et en Europe ? Sommes-nous au bon niveau d’offre ?

M. Jean-Claude Laroche. La numérisation des entreprises s’est considérablement accélérée ces dernières années. Il est difficile de dire, dans l’absolu, si nous sommes au même niveau que d’autres. Dans certains domaines, je pense que nous sommes plus avancés que d’autres et, dans d’autres domaines, cela dépend des entreprises. Certaines ont pris du retard mais, de façon générale, la numérisation des entreprises progresse. D’ailleurs, le Cigref accompagne ses adhérents, depuis plusieurs années, dans une numérisation rapide de leur activité.

La numérisation des activités tertiaires est très avancée chez les adhérents du Cigref. Nous nous situons maintenant dans une vague de rapprochement entre les technologies de l’information et l’informatique industrielle, qui était auparavant plutôt réservée à des systèmes propriétaires, à des systèmes dédiés. Nous assistons à une convergence et à une numérisation des activités industrielles sensibles.

Cette numérisation de tous les secteurs d’activité de nos entreprises et de nos administrations, y compris les activités sensibles, pose la question de la cybersécurisation de ces activités et de la résilience de nos économies.

Nous ne sommes pas en retard, loin s’en faut. Par exemple, en matière de déploiement des comptages communicants, nous sommes plutôt en avance.

M. Philippe Latombe, rapporteur. Quand une entreprise – petite et moyenne (PME), très petite (TPE) ou de taille intermédiaire (ETI) – veut se numériser, dispose-t-elle du bon niveau d’offres ? Trouve-t-elle des solutions qui lui permettent d’avoir une réflexion complète sur sa numérisation, en intégrant la question de la cyber ?

M. Henri d’Agrain. Le Cigref s’exprime pour ses 150 adhérents, qui sont essentiellement de grandes entreprises françaises du CAC 40 et du SBF 120, ainsi que de très grandes administrations publiques françaises. Il réserve ses activités à des acteurs qui ont des effets d’échelle et d’importance particulièrement élevés. Nous avons peu de visibilité sur les produits qui existent pour les PME, TPE et ETI.

M. Jean-Claude Laroche. La réponse que je vous ai donnée sur le niveau de numérisation des entreprises portait sur nos adhérents.

M. Philippe Latombe, rapporteur. Je vous pose la question, car un certain nombre de PME ou d’ETI sont des sous-traitants ou des fournisseurs importants de vos entreprises. Cette numérisation, qui peut leur être imposée, ou être rendue nécessaire par vos relations commerciales avec ces sous-traitants, n’ouvre-t-elle pas des brèches, en termes de sécurité, chez vos adhérents également ? Cette descente de la numérisation chez vos fournisseurs, qui n’est pas forcément accompagnée de la réflexion globale nécessaire, peut-elle créer des brèches dans la cybersécurité ?

M. Jean-Claude Laroche. Il est certain qu’un des éléments de fragilité de nos adhérents provient de leurs relations avec l’ensemble des acteurs qui les entourent, notamment leurs prestataires ou fournisseurs qui n’ont pas forcément le même niveau de sécurisation. C’est une évidence.

Au Cigref, nous considérons que nous avons une responsabilité, y compris dans les clauses contractuelles que nous mettons en place dans nos conditions générales d’achat, pour aider à hausser le niveau de sécurisation de l’ensemble du paysage autour de nous.

Les adhérents du Cigref commencent malgré tout par essayer de se soigner eux-mêmes : l’effort consenti ces dernières années, notamment en matière budgétaire, a été essentiellement concentré sur les systèmes d’information internes. Maintenant, petit à petit, nous étendons le champ des prérogatives, en particulier au travers de nos relations contractuelles.

Pour autant, vous avez raison. Le fait que la sécurisation de l’ensemble de l’écosystème soit liée à la sécurisation des maillons les plus faibles constitue l’un des facteurs de risques majeurs en matière de cybersécurité.

M. Philippe Latombe, rapporteur. Disposez-vous de suffisamment de personnes de talent pour répondre à l’ensemble de vos besoins ? Sinon, comment les trouvez-vous aujourd’hui ?

M. Jean-Claude Laroche. Avons-nous des personnes de talent ? La réponse est oui. En avons-nous assez ? La réponse est non. Le marché des personnes ayant un haut niveau de qualification dans le domaine de la cybersécurité est extrêmement tendu et, pour certains types de compétences, les éléments de rémunération ont tendance à augmenter fortement, ce qui n’est qu’une traduction de la rareté de ces compétences.

Pour arriver à la hauteur de ce qui serait nécessaire, des efforts multiples s’imposent, depuis la création d’écoles cyber internes à nos adhérents jusqu’au travail effectué avec l’ensemble des acteurs de la formation pour qu’apparaissent les formations dont nous avons besoin et, surtout, qu’elles soient suivies par un nombre de personnes suffisant pour alimenter ensuite nos besoins.

Nos besoins sont déjà importants en situation courante mais, si une attaque systémique atteignait une vingtaine de grands acteurs français et qu’il fallait reconstruire des systèmes d’information, chez ces vingt acteurs majeurs, simultanément, la France serait en difficulté pour trouver les compétences nécessaires.

M. Henri d’Agrain. Les propos de M. Jean-Claude Laroche sur les compétences dans le domaine de la cybersécurité traduisent un déficit beaucoup plus large des compétences dans les métiers du numérique.

Nous sommes présents au niveau européen dans des groupes de travail sur les compétences digitales. Il ressort des différentes informations dont nous disposons que la Commission européenne estime qu’il manquera à l’horizon 2025 entre 500 000 et 700 000 praticiens du numérique à différents niveaux de formation.

Dans les métiers du numérique, nos adhérents constatent une difficulté croissante à accéder aux meilleurs talents sur un marché mondialisé où ces derniers peuvent arbitrer, et non nécessairement en faveur du pays qui les a formés. Nous constatons une fuite des talents de haut niveau hors de France et d’Europe.

Les entreprises sont par ailleurs assez attentives à la baisse progressive du niveau de formation, en tout cas des exigences académiques pour des ingénieurs à bac+5 en sciences dures – mathématiques, physique – et il faudrait que la France soit attentive à ne pas baisser le niveau d’exigence de la formation des ingénieurs, notamment ceux orientés vers les métiers du numérique. Cela concerne toute la chaîne et il faut également « embarquer » des enfants. Par exemple, le nombre d’élèves qui choisissent, en fin de seconde, la spécialité « Numérique et sciences informatiques (NSI) » est assez faible et très peu de filles figurent parmi eux. De plus, l’une des trois spécialités de première est abandonnée en terminale et, en fin de première, cette spécialité NSI ne se trouve pas en bonne position. Or ce sont ces étudiants qui, à travers Parcoursup, choisiront ensuite les voies de formation des métiers du numérique dans l’enseignement supérieur.

Toute la chaîne n’est pas suffisamment performante au profit de l’ensemble de ces métiers qui représentent les métiers de demain. Le nombre de filles est catastrophique et la tendance se dégrade même encore. Nous avons actuellement 15 % de femmes dans les métiers du numérique au sens large et, dans l’enseignement supérieur, elles sont à peine 10 ou 12 %. La mixité des métiers du numérique se dégradera donc mécaniquement. Il faut vraiment faire des efforts.

Soyons bien clairs : nous n’atteindrons pas la souveraineté numérique sans compétences pour porter tous ces enjeux. La formation est un enjeu majeur pour restaurer en France et en Europe une certaine souveraineté numérique.

M. Philippe Latombe, rapporteur. Nous sommes déjà en retard dans certains domaines du numérique. Pensez-vous que, pour certaines technologies d’avenir, dans lesquelles nous sommes peu ou pas présents, en termes de recherche ou de développement, nous devrions investir assez vite ? Les entreprises en auront besoin. Si nous prenons du retard, nous nous retrouverons demain dans la même situation que celle que nous connaissons aujourd’hui dans le cloud, avec des acteurs étrangers.

M. Henri d’Agrain. En matière de recherche, la France n’est en général pas en retard. En revanche, elle prend du retard, d’abord, dans sa capacité à peser sur les organismes de normalisation où la France et l’Europe sont trop peu présentes au regard de la présence de la Chine par exemple. L’entrisme dont Huawei a fait preuve au sein des organismes de normalisation de la 5G est absolument extraordinaire. La France n’est pas suffisamment présente dans ces organismes, par exemple pour l’intelligence artificielle.

Le second point concerne la capacité à développer les résultats de la recherche et développement en investissant, d’où cette idée d’un équivalent du commissariat à l’énergie atomique, capable d’articuler la recherche pour préparer l’avenir et les investissements pour mettre en œuvre ces technologies d’avenir, avec des pendants civils et un pendant sécuritaire autour de la cybersécurité. Ce serait un instrument pour renforcer la capacité de la France à être présente sur l’ensemble du spectre des technologies nécessaires pour assurer cette souveraineté.

M. Philippe Latombe, rapporteur. Vous avez évoqué les exemples de Sentryo et Alsid. Ce savoir-faire existait et, immédiatement, il est capté ou racheté par Cisco ou par un autre opérateur, plutôt américain. Cela signifie-t-il que, en France et en Europe, nous ne sommes pas capables d’empêcher ces pépites de partir et ces acquisitions au sein de la zone France ou Europe ?

M. Jean-Claude Laroche. Nous avons effectivement des personnes extrêmement créatives en France, capables d’apporter des activités nouvelles, de créer des pépites. C’est incontestable. Souvent, ces personnes arrivent à démarrer une activité, y compris à faire financer un premier stade de croissance de leur activité mais, dès qu’elles atteignent une certaine taille, elles n’arrivent plus à trouver matière à se développer suffisamment. Elles se heurtent à quantité d’obstacles.

Très franchement, le code des marchés publics ou la directive 2014-25 relative à la passation des marchés par des entités opérant dans les secteurs de l’eau, de l’énergie, des transports et services postaux induisent des manières d’acheter qui passent par des procédures longues, souvent pas très cohérentes avec la durée de vie de ces entreprises et la nécessité de trouver des marchés assez rapidement. Lorsqu’un marché est passé, ces entreprises deviennent extrêmement dépendantes d’un client, avec parfois des marchés trop gros pour elles. Cette mécanique est peu adaptée en matière d’achats, pour les aider à grandir à un rythme qui leur convienne, avec des niveaux de marché qui leur conviennent.

Elles ont donc du mal à placer leur offre et, de plus, lorsqu’elles veulent se développer et rechercher des marchés à l’international, elles ont beaucoup de mal, au-dessus d’une certaine taille, à lever ces capitaux à cet effet. C’est la raison pour laquelle elles recherchent des financeurs. Il existe dans le monde des entreprises qui « scannent » partout les personnes créant des activités innovantes et elles viennent les racheter ou leur proposer de les racheter.

C’est une difficulté pour nous, si nous nourrissons nos pépites pour qu’elles partent trop rapidement, sans que nous ayons le retour sur investissement pour la collectivité.

Certains pays ont une stratégie consistant à faire grossir les start-up pour qu’elles se revendent, y compris aux Américains ou autres. C’est le cas d’Israël. Toutefois, ils ne le font que lorsque les entreprises ont atteint une taille suffisante, sont au moins des licornes, de sorte que leur valorisation soit suffisante pour rapporter à l’économie du pays qui les a soutenues pendant la phase de croissance. Ils font en sorte que ces entreprises puissent grossir jusqu’au stade de la licorne. Nous avons visiblement un problème de ce côté.

Nous voyons des gens brillants, qui travaillent parfois à l’Agence nationale de sécurité des systèmes d’information (ANSSI) ou chez nous, dans nos propres entreprises, aller créer des spin-off de leur activité, créer une activité utile pour tout le monde. Ils arrivent à la faire grossir un peu et sont rachetés par d’autres. C’est un problème majeur si nous voulons donner à notre pays, et plus généralement à l’Europe, plus de force dans le monde du numérique.

C’est notre analyse en tant que clients. Ce n’est pas le résultat d’un rapport.

M. Philippe Latombe, rapporteur. Qu’attendez-vous aujourd’hui de l’État pour lever ces difficultés ? Quelles sont les mesures urgentes qu’il faudrait prendre ?

M. Jean-Claude Laroche. Nous avons besoin d’un dispositif permettant de mutualiser les besoins en cloud de confiance de la part des administrations et des grandes entreprises, de façon à ce qu’une offre industrielle puisse ensuite se construire. Cette offre industrielle exige, de la part de ceux qui l’apporteront, un engagement de capitaux donc une prise de risques qui n’est possible que s’ils ont un marché.

Nous avons donc besoin d’une mutualisation des besoins en cloud de confiance et d’une promotion de l’open source. Il faut aussi que les entreprises sur lesquelles nous nous appuyons, notamment pour les systèmes d’information essentiels ou les systèmes d’information d’importance vitale, qui sont des pépites nationales, disposent d’une relative protection juridique et ne puissent pas être préemptées trop rapidement par des acteurs américains par exemple.  Nous aurions besoin que, dans le code des marchés publics, pour des besoins spécifiques, tels que ceux liés à la cybersécurité, quelques dispositions dérogatoires ou complémentaires au droit de la concurrence nous aident à flécher nos achats et nos investissements vers ces entreprises.

M. Henri d’Agrain. Je crois essentiel que l’État et l’Europe se mettent en mouvement pour réguler la sécurité dans l’espace numérique. Le premier pilier de la cybersécurité a fait l’objet d’un plan d’accélération qui est bienvenu. Il est particulièrement bien adapté me semble-t-il mais il reste trois autres piliers sur lesquels il faut également accroître la capacité de l’État et de l’Europe à réguler :

– la coopération policière et judiciaire pour appréhender, lorsque c’est possible, les cybercriminels ;

– la capacité de l’État à assurer la cyberdéfense en profondeur pour aller neutraliser les cyberattaquants là où ils sont lorsque nous ne pouvons pas les saisir. Si ce n’est pas l’État qui le fait, ce seront des milices privées avec le développement de stratégies de hackback qui ne correspondent pas à ce que les entreprises membres du Cigref peuvent attendre ;

– enfin, il faut développer la régulation de la sécurité des produits et services numériques. À cet égard, j’attire votre attention sur un rapport tout à fait intéressant de l’Organisation de la coopération et de développement économiques (OCDE) sur le renforcement de la sécurité des produits. Ce rapport contient une liste de recommandations pour les politiques publiques.

Assurer la sécurité dans l’espace numérique constitue la première responsabilité en matière de souveraineté des États, au même titre que dans l’espace physique. C’est en assurant ces quatre piliers que l’État en France, les États européens et l’Europe pourront garantir une certaine forme de souveraineté.

M. Jean-Claude Laroche. Nous aimerions que l’État rassemble les grandes entreprises de services numériques pour disposer d’une solution de visioconférence française ou européenne.

M. Philippe Latombe, rapporteur. L’État est parfaitement au courant. Nous avions des systèmes de discussion et d’échange en visioconférence qui n’étaient pas au niveau, mais nous ferons ce qu’il faut.

M. Henri d’Agrain. Vous aviez abordé la question du DMA sur lequel le Cigref est particulièrement engagé. Du point de vue de nos adhérents, c’est une opportunité absolument indispensable pour l’économie européenne. Nous ne travaillons pas seulement pour nos adhérents mais nous pensons que faire en sorte que le DMA permette de maîtriser la dépendance de l’économie européenne par rapport à des offres extra-européennes, aujourd’hui et encore plus demain, est vraiment d’une mission d’intérêt général. Il ne s’agit pas d’évincer les offres extra-européennes mais de maîtriser les taux de dépendance, la façon dont l’économie européenne sera complètement enfermée par ce type de solution. Si ces solutions ne sont pas européennes, je pense que nous aurons demain de grosses difficultés économiques.

Il faut se projeter à un horizon de dix ans, voir quelles sont les courbes de croissance du recours au cloud et à ces solutions pour soutenir l’ensemble des processus de l’économie, que ce soit pour les grandes, petites ou moyennes entreprises, pour les administrations publiques, locales ou pour l’ensemble de la vie de nos concitoyens sur le territoire de l’Union européenne.

Si nous ne parvenons pas à faire du DMA un instrument de régulation et de maîtrise de ces dépendances, nous serons passés à côté d’un enjeu majeur pour restaurer une forme de souveraineté numérique en Europe.


—  1  —

Audition, ouverte à la presse, de M. Gwendal Le Grand, secrétaire général adjoint de la Commission nationale de l’informatique et des libertés (CNIL)
(25 mars 2021)

Présidence de M. Philippe Latombe, rapporteur.

M. Philippe Latombe, président et rapporteur. Nous accueillons aujourd’hui M. Gwendal Le Grand, secrétaire général adjoint de la Commission nationale de l’informatique et des libertés (CNIL), accompagné de Mme Manon de Fallois, juriste au service de la santé et de M. Etienne Maury, juriste au service des affaires européennes et internationales.

La CNIL est une autorité administrative indépendante, créée par la loi Informatique et Libertés du 6 janvier 1978. Elle compte deux cent quinze agents et son collège est composé de dix-huit membres parmi lesquels quatre parlementaires.

La CNIL a pour mission de veiller à la protection des données personnelles contenues dans les fichiers informatiques ou papier, aussi bien publics que privés. Elle rend, en conséquence, un certain nombre d’avis et peut prendre des décisions de sanction en cas de non-respect du cadre juridique. Elle se situe donc au cœur des enjeux de notre mission d’information.

Nous souhaitons avant tout vous entendre sur trois sujets.

En prmier lieu, comment la CNIL se positionne-t-elle vis-à-vis de la souveraineté numérique ? Ce concept comprend de nombreuses définitions et déclinaisons, qui renvoient essentiellement, d’un point de vue juridique, à la capacité des pouvoirs publics à imposer le respect du cadre de régulation existant dans la sphère numérique, afin de protéger les droits et les libertés des citoyens.

Comment envisagez-vous votre action, dans un contexte marqué par le caractère évolutif des technologies numériques et un cadre juridique en mouvement, comme le montrent les différentes initiatives de régulation engagées au niveau européen ?

Nous souhaitons également échanger sur la façon dont les CNIL européennes coopèrent face aux pratiques de certains acteurs comme les GAFAM, qui déjouent largement les frontières nationales.

Notre deuxième questionnement porte sur les conséquences des récentes décisions de la Cour de justice de l’Union européenne (CJUE) sur la protection des données.

Notre mission d’information s’intéresse aux données de santé, dont l’exploitation est à la fois pleine de promesses, en termes d’innovation, et pleine de risques, raison pour laquelle elle est strictement encadrée en droit.

Nous aimerions savoir comment la CNIL se positionne sur ce sujet, notamment vis-à-vis des plateformes de données de santé et de la situation plus spécifique du Health Data Hub.

Nous nous interrogeons également sur les conséquences de la décision Schrems II, qui a invalidé le Privacy Shield, car il crérait une situation juridique insécure pour les entreprises, qui pouvaient transférer leurs données vers des pays tiers, en particulier les États-Unis.

Nous souhaiterions savoir quel regard vous portez à ce sujet et vous entendre sur les enjeux d’extra-territorialité du droit américain, le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA).

Enfin, nous aimerions échanger sur les évolutions souhaitables ou nécessaires pour la CNIL dans ce contexte mouvant. Nous savons qu’elle souhaite intégrer davantage les problématiques de cybersécurité, qui est l’une de ses priorités en matière de contrôle en 2021. Le projet de loi 4D pourrait aussi renforcer l’effectivité du pouvoir de sanction de l’autorité en proposant une procédure simplifiée dans ce domaine.

Identifiez-vous d’autres évolutions souhaitables pour renforcer votre capacité d’agir en faveur de la protection des données, des droits et des libertés des citoyens dans le domaine du numérique ?

M. Gwendal Le Grand, secrétaire général adjoint de la Commission nationale de l’informatique et des libertés (CNIL). Mmes et MM. les députés, Mmes et MM, je suis très honoré d’avoir l’occasion de m’exprimer devant votre mission d’information et je vous remercie, au nom de la CNIL, pour votre invitation.

Je suis accompagné de M. Etienne Maury, qui travaille au service des affaires internationales et européennes, et de Mme Manon de Fallois, qui travaille au service de la santé.

La souveraineté numérique est devenue, en quelques années, un sujet politique majeur et décisif. Depuis sa création, il y a plus de quarante ans, la CNIL a observé comment les innovations technologiques ont progressivement envahi les espaces de la vie privée et de la vie en collectivité, au travail comme dans les entreprises ou les services publics. Le numérique a même modifié la perception de nos frontières, des valeurs de nos sociétés et de notre équilibre économique.

Cette difficulté nécessite de repenser le concept de souveraineté nationale et européenne pour faire face à deux principaux enjeux.

Le premier enjeu est lié à la capacité des États à appliquer leurs normes. En effet, rien de ce qui définit la puissance publique (un territoire, des frontières, des règles) ne fonctionnent en ligne, car Internet n’est pas un lieu, mais un lien dans lequel s’effectue d’innombrables traitements et transferts internationaux de données. La singularité de la révolution numérique tient d’ailleurs au fait que les gisements de données ne se tarissent pas avec le temps. L’usage de données génère de la valeur par leur recoupement, leur agrégation et leur mise en relation.

Le deuxième enjeu est celui de l’éthique. Le « solutionisme technologique » proposé par de multiples acteurs, qui se confrontent sur des marchés, est une tendance forte, qui pourrait nous conduire à subir des choix d’organisation de la vie en société. Le risque réside dans le fait que ces choix soient in fine opérés à notre insu, en dehors des circuits démocratiques traditionnels, et que les nations n’aient plus la capacité d’opérer des choix collectifs.

L’État est mis au défi dans toutes ses facettes d’expert, de stratège, de législateur, de régulateur et de pouvoir exécutif. Face à ce défi, l’intervention de la puissance doit se recomposer autour de leviers robustes, que je vous propose d’explorer au travers du prisme de la CNIL.

Je reviendrai rapidement sur la genèse du Règlement général sur la protection des données (RGPD) et la structuration de la souveraineté numérique, avant de présenter un bilan européen de la protection des données. Je terminerai sur les axes prioritaires à renforcer pour que la CNIL soit à la hauteur des enjeux dans un monde post-Covid. Mon propos répondra ainsi à la plupart de vos questions.

S’il existait un ADN du numérique à l’échelle française ou européenne, il s’agirait de placer la personne humaine au centre de la régulation. Celle-ci a évolué afin de répondre à des défis politiques, économiques et géopolitiques.

S’agissant des défis politiques, l’article premier de la loi Informatique et Libertés de 1978, qui a donné naissance à la CNIL, pose le principe selon lequel l’informatique doit être au service de chaque citoyen et ne porter atteinte ni à une entité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles et publiques. Quarante ans plus tard, cet article premier constitue toujours une boussole.

La loi Informatique et Libertés a également imposé quatre types de nouveaux droits citoyens : les droits d’information, d’opposition, d’accès et de rectification.

À partir des années 1990, des défis économiques surviennent. Avec l’explosion d’Internet, l’Europe se dote d’une directive en 1995, qui reprend les principes de la loi Informatique et Libertés. En 2002, une directive dite « on Privacy » (Vie privée et communication électronique) reconnaît la spécificité du secteur des communications électroniques. Depuis, le contexte économique a beaucoup évolué, avec les GAFAM qui sont devenues hégémoniques et de nombreuses avancées technologiques, comme les objets connectés, les techniques de profilage, de surveillance, les outils de contrôle, les algorithmes et le développement des cyberattaques, qui nourrissent la conscience collective de devoir revoir à la hausse le niveau de protection des données personnelles. Les révélations d’Edward Snowden aux débuts des années 2010 en sont le symbole.

Dans ce contexte, la directive a évolué le 25 mai 2018 en Règlement général sur la protection des données (RGPD), qui s’articule autour de cinq axes majeurs.

Le premier axe est le renforcement quantitatif et qualitatif du droit des personnes, une meilleure explication de la loi Informatique et Libertés, l’apparition de nouveaux droits, comme le droit à l’oubli, le droit à la portabilité et la possibilité de mener des actions de groupe.

Le deuxième axe est la responsabilisation de l’ensemble des acteurs de traitement de données, publiques et privées, sur la base de principes de minimisation de la collecte, de limitation de la durée de conservation et d’obligation de sécurité pour garantir à tout moment le respect du Règlement.

Le RGPD est d’ailleurs fondé sur la notion de risques présentés par les traitements, tant en volume qu’en sensibilité des données. En clair, plus l’acteur est important dans l’écosystème numérique, plus ses obligations et ses responsabilités sont nombreuses

Le troisième axe s’inscrit en contrepartie du précédent, par le renforcement du pouvoir de sanction administrative des différentes CNIL au niveau européen. Les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise, l’option majeure étant appliquée. La gamme des sanctions est également élargie.

Le quatrième axe est la mise en place d’un nouveau modèle de gouvernance de la régulation, inédit au niveau européen, au travers d’un guichet unique pour les entreprises et d’un guichet unique pour les citoyens. Si l’entreprise n’a qu’un seul interlocuteur, les décisions qui la concernent sont prises selon des principes de consensus et de coopération entre les différentes autorités nationales, afin de prononcer une décision applicable harmonisée à l’échelle européenne. En cas de désaccord entre les autorités, le nouveau Comité européen de la protection des données (CEPD), c’est-à-dire le groupe des CNIL européennes, arbitrera et prendra une décision contraignante vis-à-vis de l’autorité de l’établissement principal.

Le cinquième axe est le RGPD, qui a constitué une première étape décisive dans la souveraineté numérique, grâce à son principe de libre circulation des données sur l’ensemble du territoire de l’Union et son principe inédit d’extra-territorialité, selon lequel il s’applique à tous les acteurs dès lors qu’un organisme cible des citoyens européens. Il ne s’agit pas, pour l’Europe, de se livrer à du protectionnisme, mais d’affirmer un modèle de régulation fondé sur la défense du droit des personnes, héritée de la philosophie humaniste des droits de l’Homme, en vue de générer la confiance indispensable à la réussite de cette politique publique.

En outre, toutes les études récentes montrent une profonde aspiration de maîtrise des personnes sur leurs données. Ainsi, 87 % des Français se déclarent sensibles à la protection des données.

S’agissant des défis d’ordre stratégique, plusieurs modèles de régulation fondamentalement différents s’affrontent à l’échelle mondiale. Le RGPD est devenu un instrument de soft power de diplomatie. Nous constatons un avant et un après 25 mai 2018 au niveau mondial. Des pays ont procédé à la mise à jour de leur cadre national en matière de protection des données, afin de continuer à commercer avec l’Europe. Tel est le cas de la Suisse, du Japon, de la Corée du Sud, du Bénin ou de l’Australie. Des processus législatifs sont en cours dans d’autres pays comme la Tunisie ou le Burkina Faso. Des États ont, pour la première fois, adopté un cadre juridique général de protection des données personnelles comparable au RGPD dans ses principales dispositions. Tel est le cas de la Californie avec le California Consumer Privacy Act (CCPA) adopté en octobre 2018 et entré en application le 1er janvier 2020. Le Brésil a adopté son règlement en 2019. En Inde, la Cour suprême a consacré, en 2017, le droit à la protection de la vie privée comme un droit fondamental. Un projet de loi est en discussion au parlement.

En tout état de cause, le RGPD est un des rares textes dont nous parlons encore trois ans après son adoption, ce qui démontre que les échanges de données personnelles sont au cœur de toutes les discussions politiques au niveau international, au même titre que les règles en matière de concurrence ou de commerce.

Trois ans après la mise en œuvre du RGPD, quel bilan l’Europe peut-elle tirer ?

À l’échelle de la France, la CNIL en a véritablement constaté l’effet. Les citoyens se saisissent de leurs droits lorsque ceux-ci leur sont mieux expliqués. En 2019 et en 2020, nous avons reçu environ 14 000 plaintes, ce qui représente une augmentation de 27 % par rapport à 2018, qui était déjà une année record.

En 2020, la crise sanitaire a fait émerger de nombreux enjeux. Les visites sur le site de la CNIL ont augmenté de 18 % en un an, ce qui témoigne de l’intérêt des citoyens pour ces questions au regard de l’actualité récente. Nous comptons aujourd’hui plus de 24 000 délégués à la protection des données, qui représentent plus de 72 000 organismes. Nous avons reçu près de 6 500 notifications de violation de données personnelles depuis 2018 et près de 1 200 dossiers en 2018, 2 300 en 2019 et plus de 3 000 dossiers en 2020. Ces dossiers permettent à la CNIL d’orienter son action de conseil et de répression et de mieux jouer son rôle dans l’écosystème de la cybersécurité.

En ce qui concerne la répression, la CNIL conduit environ 300 contrôles formels chaque année. Le nombre de mesures correctrices est en constante hausse. Après une période d’actions pédagogiques en 2018, la CNIL a prononcé une quinzaine de sanctions en 2020 (contre huit sanctions en 2019) pour un montant cumulé d’environ 139 millions d’euros.

À l’échelle européenne, la mise en œuvre de nouveaux modèles est clairement enclenchée, avec plus de 1 500 cas transfrontaliers identifiés, 550 procédures de guichet unique lancées avec nos homologues et plus de 190 décisions finales adoptées en application du mécanisme de coopération et de cohérence.

Fin 2020, une première décision contraignante a arbitré un différend entre l’autorité irlandaise et les autorités européennes concernant Twitter. Le CEPD a également ajouté une vingtaine de lignes directrices précisant le RGPD sur des notions essentielles, comme son champ d’application territorial, le ciblage des utilisations sur les réseaux sociaux ou le  privacy by design – la protection des données dès la conception – contribuant ainsi à une véritable doctrine européenne en la matière.

À ce jour, la CNIL a prononcé plus de 550 sanctions représentant plus de 300 millions d’euros d’amendes.

Le RGPD a passé le test de la crise sanitaire, en évitant le détournement d’usage des données sensibles tout en se montrant suffisamment souple pour permettre aux États membres de traiter et de partager ce type d’informations dans un contexte exceptionnel.

Ces fondements posés, quels sont les axes prioritaires des années à venir pour renforcer la souveraineté numérique ? Ces axes relèvent de trois domaines : la cybersécurité, la politique industrielle et le cadre législatif européen.

Concernant la cybersécurité, il ne se passe pas un jour sans que ne nous soit signalée une attaque ciblant les réseaux de grands organismes publics ou privés, y compris ceux ayant des moyens financiers importants ou menant des activités particulièrement critiques. 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a traité plus de 200 attaques en 2020 contre 50 en 2019. La plupart du temps, ces attaques prennent la forme de rançongiciels, qui paralysent le système d’information et demandent le paiement d’une rançon pour récupérer l’accès aux données. Ces attaques sont la première cause de recherche et d’assistance auprès du site cybermalveillance.gouv.fr.

La CNIL reçoit des notifications de violation de données. Elle vérifie la sécurité et accompagne les personnes et les PME, tandis que l’ANSSI traite plutôt de grandes failles ou d’actions particulièrement malveillantes.

Le deuxième levier d’action consiste à déployer une politique volontariste pour faire émerger les champions européens du numérique. Le respect de la vie privée et l’intégration du principe de privacy by design sont de véritables avantages concurrentiels pour les acteurs européens qui sauront s’en saisir, car ils répondent aux aspirations actuelles des consommateurs. La sécurité du cloud en est un bon exemple. En dépit de l’échec des premiers clouds souverains, la France défend une solution nationale ou européenne pour abriter les données sensibles et favoriser l’émergence d’un marché de confiance, en ajustant des offres déjà matures pour les mettre en conformité avec les standards de protection des données et de transparence des contrats. La CNIL entend suivre et accompagner ces initiatives, qui offrent une alternative viable aux géants du cloud, tant pour le fournisseur que pour le client.

Un exemple stratégique est l’hébergement des données de santé, qui doit être transféré sous deux ans vers une solution française ou européenne relevant exclusivement de la juridiction de l’Union européenne. Pour la CNIL, ce délai garantit un juste équilibre entre la préservation du droit à la protection des données personnelles et l’objectif de favoriser la recherche et l’innovation dans le domaine de la santé.

Le troisième levier d’action est la préservation de notre ordre juridique européen. La question du transfert des données est devenue prégnante en 2020 et plusieurs décisions législatives d’envergure ont été prises.

L’arrêt Schrems II, rendu le 16 juillet 2020 par la Cour de justice de l’Union européenne, a tout d’abord invalidé le bouclier de protection de données, le Privacy Shield, qui permettrait le transfert de données vers les États-Unis sans formalité supplémentaire. Le CEPD, le groupe des CNIL européennes, et la CNIL se sont emparés de cette décision, afin d’en tirer toutes les conséquences.

La Commission européenne a annoncé, fin 2020, sa stratégie de régulation de l’écosystème numérique européen. Le Digital Market Act (DMA) pose le principe de régulation économique en présentant un certain nombre d’adhérences avec le RGPD en matière d’obligations, d’interopérabilité des données, de transparence des traitements et de consentement explicite des consommateurs pour la mutualisation des données.

Le Digital Services Act (DSA) concerne la responsabilité des plateformes face à la souveraineté de l’État.

Le Data Governance Act (DGA) vise, quant à lui, à définir un cadre européen pour la réutilisation et le partage des données, qu’elles soient personnelles ou non. Ce texte ambitieux constitue le socle d’une future économie européenne de la donnée.

Pour conclure, le contexte actuel offre un alignement assez inédit des intérêts entre notre modèle de gouvernance de la donnée et notre politique industrielle. Il est essentiel que nous parvenions collectivement à nous en saisir pour mener une politique ambitieuse de souveraineté numérique européenne. Le RGPD est un facteur clé de cette ambition.

Je me tiens maintenant à votre disposition pour répondre à vos questions.

M. Philippe Latombe, rapporteur. Nos questions sont nombreuses.

Dans les récents arrêts Schrems de la Cour de justice européenne et la jurisprudence Tele2 Sverige et Prokuratuur, il y a quelques semaines, qu’est-il autorisé et interdit aujourd’hui ? Les addendas ou les spécificités techniques sont-ils suffisants pour assurer la protection des données lorsque nous utilisons les clouds étrangers des GAFAM ? Quelle est la portée de l’extra-territorialité américaine réelle sur les filiales de ces grands groupes en Europe ?

Nous avons interrogé IBM, qui nous a répondu que les jurisprudences Schrems ne lui sont pas applicables en raison de ses filiales en France relevant du droit français. À la même question, Google et Amazon nous ont répondu, la semaine passée, que ces jurisprudences leur étaient évidemment applicables, malgré leurs filiales irlandaises.

Quelle est la position de la CNIL sur les données personnelles classiques et les données personnelles sensibles ? Cette demande émane aussi des entreprises, qui ne savent plus où elles en sont.

M. Gwendal Le Grand. Un avis sur la mise en œuvre de l’arrêt Schrems a été publié assez rapidement par le Comité des CNIL européennes pour consultation publique. Nous travaillons aujourd’hui sur sa version définitive. La CNIL et le CEPD ont également rédigé des questions fréquentes pour répondre aux entreprises.

Cette décision Schrems est cruciale sur trois plans. La Cour a reconnu la validité des clauses contractuelles-types de la Commission européenne comme outil de transfert. Elle a toutefois précisé que pour recourir à cet outil, il appartient à l’exportateur des données de vérifier que la législation applicable à ce transfert dans le pays tiers de destination n’aboutit pas à affaiblir le niveau de protection des données. À défaut, des mesures supplémentaires doivent être prises pour protéger les données. Enfin, la Cour a invalidé la décision concernant le bouclier de protection des données.

Le CEPD a publié des recommandations. Une consultation publique a été ouverte jusqu’en début d’année. Leur mise à jour est en cours pour tenir compte des nombreux commentaires reçus.

Concernant la question de l’accès aux données par les autorités américaines, l’une des premières questions à se poser pour déterminer si l’entité est sujette à l’extra-territorialité du droit américain est de savoir si la garde, la possession ou le contrôle des données concernées relèvent d’une société soumise au droit américain. Selon le Cloud Act, un responsable de traitement ou un fournisseur de communications électroniques ou de services informatiques distants, dont les traitements sont soumis au RGPD, pourrait devoir répondre à un mandat des autorités américaines en vertu du Cloud Act. Un sous-traitant de responsable de traitement américain, établi dans l’Union européenne, peut être destinataire d’un mandat des autorités américaines pour les données qu’il sous-traite.

La section 702 du FISA n’apporte pas de précision sur la portée extraterritoriale des ordres à produire, mais elle ne restreint pas ces demandes aux seules données stockées sur le territoire américain, ce qui implique un possible accès à des informations en dehors du territoire américain. Il n’y a donc pas de doute sur le caractère extraterritorial des acquisitions et des interceptions fondées sur l’Executive Order 12333.

L’utilisation des logiciels et de solutions techniques brevetés par des sociétés américaines n’est pas déterminante de la possibilité pour les autorités américaines de contraindre des sociétés à divulguer des données, dès lors que ces solutions sont utilisées par des responsables de traitements qui ne sont pas soumis à la juridiction américaine. Il suffit de s’assurer que ces solutions techniques ne permettent pas un accès aux données par le biais de portes dérobées, intégrées par des développeurs à la demande des autorités américaines, notamment en application de la section 702 du FISA.

M. Philippe Latombe, rapporteur. Concrètement, Watson, un logiciel d’intelligence artificielle d’aide aux commerciaux, qui a accès aux bases de données pour préparer les réponses aux consultations des clients, est breveté par IBM Corp aux États-Unis et mis à la disposition de l’ensemble de ses filiales dans le monde. Watson constitue-t-il une porte d’extra-territorialité en Europe pour les États-Unis ? Watson est-il soumis au Cloud Act et éventuellement à la section 702 du FISA ?

M. Gwendal Le Grand. Pour répondre précisément, nous devrions observer la mise en œuvre de ce logiciel. D’une manière générale, si Watson est une solution logicielle mise en œuvre par un responsable de traitement européen non soumis à la législation américaine, la réponse est négative.

En revanche, si Watson traite de données par lui-même, la réponse est affirmative. Il convient de définir précisément la nature du logiciel et s’il est mis en œuvre, sans transfert de données, dans des systèmes informatiques d’une société européenne ou si des données sont adressées à l’intelligence artificielle de serveurs pouvant se situer aux États-Unis.

M. Philippe Latombe, rapporteur. Quelles sont les conséquences de l’arrêt Schrems appliqué aux données de santé ? Sur une sollicitation du Conseil d’État, vous avez émis un avis en faveur de migrations vers un cloud souverain, alors même que le Health Data Hub (HDH) applique les clauses contractuelles-types et des addenda signés avec Microsoft, sous couvert d’une localisation en Europe et d’une clé de chiffrement à laquelle Microsoft n’a pas accès.

M. Gwendal Le Grand. L’avis du Conseil d’État sur ce cas est très intéressant et il confirme l’analyse de la CNIL. Il convient de distinguer la question des transferts et le traitement des données par une société susceptible de recevoir des requêtes de la part des autorités américaines. Le Conseil d’État estime qu’il existe un risque d’accès par les autorités américaines, y compris en l’absence de transfert de données, du fait de la loi d’extra-territorialité américaine. De nombreux échanges ont ainsi porté sur la nécessité d’assurer un hébergement des données de santé, qui sont particulièrement sensibles, afin de garantir l’absence de risque d’accès par les autorités américaines.

M. Philippe Latombe, rapporteur. J’en déduis que cette décision serait applicable à d’autres données et d’autres systèmes utilisés par l’État et la sphère publique. Nous pouvons citer les smart cities, dans lesquelles une municipalité placerait les données des citoyens pour calculer le coût de la cantine ou de l’EHPAD.

M. Gwendal Le Grand. Le HDH concerne normalement un large volume de données particulièrement sensibles. Le raisonnement sur les possibilités d’accès par les autorités américaines du fait que le HDH est hébergé par un prestataire américain peut effectivement être appliqué à d’autres systèmes d’information.

M. Philippe Latombe, rapporteur. Le Conseil d’État a été saisi à propos de Doctolib. Considérez-vous également que les données de prise de rendez-vous pour la vaccination contre la Covid ne sont pas des données de santé ?

M. Gwendal Le Grand. Le Conseil d’État estime que la gestion des prises de rendez-vous, assurée par trois sociétés, dont Doctolib, et le fait d’être prioritaire pour la vaccination ne sont pas des données de santé. AWS et Doctolib ont conclu un addendum définissant une procédure précise en cas de demande d’accès aux données par une autorité publique. Cette procédure prévoit notamment la contestation de toute demande générale ou ne respectant pas la réglementation européenne. Ces sociétés ont, par ailleurs, mis en place un certain nombre de mesures techniques, dont un système de chiffrement fondé sur un tiers de confiance basé en France.

Le Conseil d’État a conclu que le niveau de protection des données ne pouvait pas être considéré comme manifestement insuffisant au regard du risque de violation du RGPD.

M. Philippe Latombe, rapporteur. Ma question était de savoir ce que le Conseil d’État considère comme une donnée de santé.

M. Gwendal Le Grand. Le Conseil d’État n’a pas expressément indiqué que les données relatives aux prises de rendez-vous ne sont pas des données de santé. Le communiqué de presse précise que le juge des référés du Conseil d’État relève que les données transmises à Doctolib dans la campagne de vaccination ne comprennent pas de motifs médicaux d’éligibilité à la vaccination, mais portent uniquement sur l’identité des personnes et la prise de rendez-vous. La définition d’une donnée de santé est donnée par l’article 4 du RGPD.

M. Philippe Latombe, rapporteur. Certains juristes considèrent que la décision du Conseil d’État n’est pas cohérente avec cette définition.

Vous avez récemment utilisé un procédé particulier pour sanctionner Google à propos des cookies au moyen d’un texte ancien, qui présente l’intérêt de ne pas entrer dans le champ de la régulation des CNIL européennes, dont le chef de file aurait été la CNIL irlandaise. Selon vous, celle-ci est-elle mal à l’aise vis-à-vis de grands groupes, qui se sont installés sur son territoire pour des raisons fiscales ? N’est-elle pas soumise à un conflit d’intérêts, qui l’empêche de sanctionner les GAFAM ?

M. Gwendal Le Grand. Fin décembre 2020, la formation restreinte de la CNIL a prononcé une sanction de 100 millions d’euros à l’encontre de Google LLC, Google Irlande et Amazon pour l’utilisation de cookies sur la base d’une législation largement appliquée. Cette directive de 2002 avait été révisée en 2009, puis en 2018 sous l’effet de la mise en application du RGPD. Cette législation n’est donc pas ancienne. Un accord a même été conclu récemment au Conseil pour qu’elle devienne un Règlement européen.

Cette directive traite notamment du stockage de cookies sur le terminal d’un utilisateur. Ce stockage doit faire l’objet d’une information et d’un consentement préalable. Cette directive est transposée en droit national dans tous les états membres. En France, la CNIL est chargée de contrôler l’application de cette règle et de sanctionner les éventuels manquements. Beaucoup d’actions ont d’ailleurs été engagées par la CNIL pour clarifier les règles en matière de dépôt de cookies. Des lignes directrices, qui ont d’ailleurs été attaquées devant le Conseil d’État, et une recommandation ont été édictées. Les entreprises ont jusqu’à la fin du mois de mars 2021 pour se mettre en conformité.

La décision a été attaquée en référé par Google devant le Conseil d’État. Dans l’ordonnance du 4 mars 2021, le juge a rejeté la demande de suspension de l’exécution formulée par les sociétés Google LLC et Google Irlande d’une injonction prononcée par la formation restreinte des CNIL dans sa décision de décembre 2020.

Dans sa décision de référé, le Conseil d’Etat a confirmé que le mécanisme du guichet unique, institué par le RGPD, n’est pas applicable en matière de dépôt de cookies, dans la mesure où les règles qui le régissent sont prévues par la directive ePrivacy. L’autorité de protection des données nationales n’est, en effet, pas toujours compétente pour faire appliquer l’ePrivacy. L’autorité compétente peut être l’équivalent de l’ARCEP dans les autres pays européens. Il n’existe pas de coordination européenne dans les textes actuels. Seule une autorité nationale est compétente pour vérifier le respect de cette directive.

S’agissant de l’Irlande, l’organisme de régulation est face à un enjeu de crédibilité du modèle. Un certain nombre de décisions a déjà été pris pour activer tous les échelons du RGPD. Certains observateurs estiment que nous n’aboutissons pas suffisamment rapidement sur des projets de décisions irlandaises portant sur les acteurs majeurs de l’écosystème numérique. Certains estiment qu’il convient de changer les règles de gouvernance du RGPD.

Quant à elles, les autorités européennes pensent que le RGPD est un texte solide, qui mérite d’être conservé et accompagné dans son application, en renforçant la coopération entre les autorités et en leur donnant davantage de moyens. Si certains droits nationaux rendent difficile l’aboutissement à des décisions nationales, il appartient à la Commission européenne d’intervenir.

En tout état de cause, la CNIL souhaite renforcer l’efficacité de la coopération européenne en continuant à s’appuyer sur le RGPD, qui constitue une force de l’Europe dans toutes les négociations au niveau international. La CNIL contribue au renforcement de la coopération en utilisant tous les outils à sa disposition, comme les lignes directrices du CEPD sur la coopération européenne, qui clarifient les procédures, le RGPD ou les demandes d’assistance. En dernier recours, elle a la possibilité d’adopter des mesures d’urgence en cas d’atteinte grave au droit des personnes.

M. Philippe Latombe, rapporteur. De nombreux observateurs craignent l’existence d’un problème par rapport à la CNIL irlandaise et aux GAFAM, du fait de leur proximité et de l’intérêt économique que ces dernières représentent pour l’Irlande.

Les GAFAM ont l’habitude de faire de l’entrisme ou du lobbying. Le ressentez-vous à la CNIL ? D’autres CNIL européennes l’ont-elles évoqué ?

M. Gwendal Le Grand. Ces sociétés pratiquent évidemment du lobbying sur notre doctrine. Elles cherchent à participer aux consultations publiques, lors de la publication de lignes directrices par exemple, pour faire valoir leurs positions, mais les autorités de protection sont indépendantes dans la prise de leurs décisions. Les montants des sanctions sont d’ailleurs nettement plus élevés qu’avant 2018, puisque le plafond est passé de 150 000 euros à 3 millions d’euros, voire 4 % du chiffre d’affaires mondial d’une entreprise.

Il est essentiel d’assurer la solidité de nos décisions devant les juridictions, y compris pour l’Irlande. J’en veux pour preuve que nos décisions sont de plus en plus attaquées devant le Conseil d’État, voire la Cour de justice de l’Union européenne. Chacun respecte sa procédure nationale et peut être contraint par ses propres difficultés. La Commission européenne a aussi son rôle à jouer si des procédures nationales font obstacle à l’application du droit de l’Union européenne.

M. Philippe Latombe, rapporteur. Une suite d’arrêts de la Cour de justice de l’Union européenne, Tele2 Sverige et Prokuratuur, est actuellement devant le Conseil d’État. Même si elle concerne essentiellement l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), quelles conséquences en tirez-vous à la CNIL ?

M. Gwendal Le Grand. La CNIL se charge de faire appliquer les décisions de la Cour, qui relèvent de son champ de compétences. Une décision a, par exemple, été prise sur le droit à l’oubli par la Cour de justice de l’Union européenne. La CNIL applique la jurisprudence de la Cour. Elle n’a pas de position à émettre sur les décisions de la Cour de justice de l’Union européenne. Elle n’a d’ailleurs pas produit d’écritures en observations.

Concernant les cas de conservation des données de connexion, nous pouvons relever la constance des arrêts de la Cour, qui s’est prononcée de façon cohérente à plusieurs reprises, à plusieurs années d’intervalle, sur des sujets similaires.

M. Philippe Latombe, rapporteur. Si le Conseil d’État confirme la décision de la Cour de justice de l’Union européenne, vous serez in fine chargé de vérifier l’application de l’arrêt.

M. Gwendal Le Grand. Bien sûr, nous sommes dans un État de droit, dans lequel le législateur détermine des règles, qui peuvent être attaquées de différentes manières. La CNIL est chargée de faire appliquer la législation, parfois éclairée par des décisions de la Cour de justice de l’Union européenne.

M. Philippe Latombe, rapporteur. Compte tenu du volume, ne craignez-vous pas une rapide augmentation de la charge de travail ? Si le Conseil d’État confirme la décision de la Cour de justice de l’Union européenne, un certain nombre de procédures judiciaires s’en trouveront affectées. Les personnes mises en cause dans ces procédures pourraient saisir la CNIL pour demander l’application de l’arrêt du Conseil d’État.

M. Gwendal Le Grand. Je ne peux pas anticiper cette situation, qui est conditionnée par de nombreuses questions.

D’une manière générale, la CNIL continue de demander des moyens supplémentaires pour exercer convenablement ses missions. Nous sommes aujourd’hui 225 agents. À la fin de l’année 2021, nous serons 245, alors que les Anglais comptent entre 600 et 700 agents. Selon la Commission européenne, la France présente le troisième plus mauvais ratio pour son nombre d’agents de la CNIL rapporté au nombre d’habitants. Nos missions sont extrêmement larges, car la problématique des données personnelles est commune à toute l’économie numérique. Il est donc essentiel que l’autorité soit suffisamment dotée pour protéger les droits fondamentaux des citoyens.

M. Philippe Latombe, rapporteur. Comment entrevoyez-vous la suite avec vos homologues anglais après le mois de juin 2021 ? Le RGPD continue à s’appliquer jusqu’à cette date, mais la Grande-Bretagne pourra ensuite modifier son système de protection des données, en se rapprochant, par exemple, du modèle américain.

M. Gwendal Le Grand. Un projet de décision d’adéquation est en cours de discussion entre l’Europe et le Royaume-Uni pour pouvoir continuer à transférer des données sans formalité. Le CEPD a été saisi du sujet et doit se prononcer prochainement.

À ce jour, les données peuvent continuer à transiter, même si le Royaume-Uni ne fait plus partie du CEPD et ne relève plus du guichet unique. Une période de transition a été aménagée dans l’attente de la mise en œuvre de cette décision d’adéquation.

M. Philippe Latombe, rapporteur. En France, la carte nationale d’identité électronique et l’identité numérique sont largement évoquées. La CNIL est évidemment à la pointe sur cette question. Elle a rendu des avis sur la carte nationale d’identité et le système des titres électroniques sécurisés (TES) il y a quelques jours. Comment jugez-vous l’état d’avancement de la France dans ce domaine par rapport aux autres pays européens ?

M. Gwendal Le Grand. L’identité électronique recouvre plusieurs sujets. Un Règlement européen impose aux États membres de déployer une carte d’identité électronique avant août 2021. Dans ce contexte, le décret TES a été modifié pour permettre à l’État de créer de nouvelles cartes d’identité intégrant un composant électronique, dans lequel se trouvent des données biométriques en application d’un Règlement européen.

La question de l’identité numérique est plus large. Le gouvernement a porté plusieurs initiatives telles que FranceConnect et Alicem, sur lesquelles la CNIL a été amenée à se prononcer. Des textes ont ensuite été publiés pour contrôler leur application.

Un certain nombre de critères sont importants par rapport à l’identité numérique. Premièrement, une personne n’a pas besoin d’avoir une identité unique en ligne. Dans le monde réel, elle peut interagir avec un certain nombre de personnes, qui n’ont pas besoin de connaître l’ensemble des données de son état civil pour lui faire confiance et réaliser des transactions avec elle.

Deuxièmement, il existe un certain nombre de principes en termes de protection des données. Il s’agit tout d’abord de se demander qui peut voir les transactions que la personne réalise avec un acteur du privé et quelle est la nature des données présentées lors d’une authentification. Par exemple, pour s’inscrire à la bibliothèque, une personne doit seulement prouver qu’elle habite la commune sans forcément donner l’ensemble des attributs de son identité. De la même manière, pour accéder à certains services, elle aura besoin de fournir une preuve d’âge sans pour autant décliner son identité complète.

Ces principes doivent être portés par les solutions d’identité électronique. La CNIL n’est bien sûr pas opposée à un renforcement de la sécurité en ligne, qui est essentielle pour protéger les données personnelles et prévenir les risques d’usurpation d’identité, mais les solutions d’identité électronique ne doivent pas aboutir à une identité numérique unique, quel que soit le service auquel la personne souhaite accéder. Le respect des règles du RGPD et de la Loi Informatique et Libertés est indispensable.

M. Philippe Latombe, rapporteur. Pensez-vous que l’État à une bonne connaissance et un respect correct du niveau de protection des données ?

M. Gwendal Le Grand. Cette question est extrêmement large. Dans un État de droit, les textes sont appliqués, après avis du Conseil d’État et de la CNIL. En outre, des autorités contrôlent les fichiers mis en place par l’État.

Pendant la crise sanitaire, la CNIL a mené un travail spécifique pour accompagner à la fois les acteurs privés et les pouvoirs publics, en se prononçant sur SI-DEP, Contact Covid, le système d’information Vaccin Covid et à plusieurs reprises sur TousAntiCovid.

Courant 2020, la CNIL a ensuite réalisé une trentaine de contrôles sur les systèmes d’information mis en place par l’État dans la crise sanitaire. Elle doit donc avoir suffisamment de moyens pour être en mesure de répondre rapidement aux demandes, dans sa mission de conseil. Cet impératif s’est illustré pendant la crise sanitaire, période pendant laquelle elle a été extrêmement sollicitée pour se prononcer sur le recours au télétravail, les caméras de comptabilisation des masques, les drones, etc.

La CNIL fait face à des attentes fortes de la part des pouvoirs publics, du secteur privé et des parlementaires, qui ont besoin de connaître rapidement l’avis de la CNIL pour prendre position sur des questions souvent inédites.

La CNIL est une autorité dont l’indépendance est garantie par les textes et la constitution de la CNIL. Il lui arrive également de prendre des sanctions, y compris vis-à-vis d’acteurs du secteur public. Si ses moyens sont renforcés, elle pourra encore mieux exercer ses missions.

M. Philippe Latomb, rapporteur e. Votre pouvoir de sanction vis-à-vis de l’État est-il suffisant ? Je prends l’exemple des drones, sur lesquels vous avez eu une position très ferme vis-à-vis du ministère de l’Intérieur. Celui-ci continue toutefois à les utiliser, en vous renvoyant à votre simple pouvoir d’injonction. Vos pouvoirs de sanction ou d’interdiction doivent-ils être renforcés vis-à-vis de l’État ?

M. Gwendal Le Grand. Nous avons déjà d’importants pouvoirs de sanction. Notre priorité est de disposer de procédures de sanction simplifiées, notamment pour doter le président de la formation restreinte de la CNIL de nouvelles attributions dont l’exercice ne nécessite pas nécessairement l’intervention de l’ensemble du collège des sanctions. Cette configuration serait applicable aux seules affaires simples et de faible gravité et le montant des sanctions financières serait limité.

Aujourd’hui, toutes les affaires sont traitées avec le même niveau d’assurance juridique par la formation restreinte au complet.

Nous avons aussi, au-delà du pouvoir d’injonction, un poids sur le débat public. Les positions de la CNIL sont entendues et relayées. Ses positions peuvent d’ailleurs appuyer des recours devant les juridictions.

M. Philippe Latombe, rapporteur. Quelles sont, selon vous, les principales atteintes aux données ? Quelles sont les évolutions technologiques dont les atteintes en résultant pourraient vous donner le sentiment d’être désarmés ? Quelles évolutions législatives et réglementaires devraient être adoptées en urgence pour que vous puissiez continuer à exercer votre activité ? Je pense, par exemple, à l’intelligence artificielle.

M. Gwendal Le Grand. Nous avons identifié trois priorités en matière de contrôles en 2021 par rapport aux enjeux de protection des données : les cookies, la sécurité des données de santé et la cybersécurité.

Les cookies entrent dans le champ des lignes directrices, de la recommandation et des sanctions déjà évoquées. À compter de la publication des lignes directrices et de la recommandation en octobre 2020, nous avons donné aux entreprises un délai de six mois pour se mettre en conformité avec les nouvelles règles. Ce délai expire donc fin mars 2021. Dès lors, nous contrôlerons le respect de ces textes en matière de cookies.

Concernant la sécurité des données de santé, nous constatons le développement de systèmes d’information dans le domaine de la santé. Ils figuraient déjà dans notre programme de contrôle l’an dernier, mais ce dernier s’est décalé du fait de la crise sanitaire. Nous les avons donc à nouveau inscrits dans notre programme de contrôle. En pratique, nous menons des investigations sur les violations de données signalées à la CNIL et sur l’évaluation de la sécurité des établissements de santé et des laboratoires.

Enfin, s’agissant de la cybersécurité, nous nous attachons en particulier aux sites web, qui touchent le quotidien numérique des Français. L’objectif de nos contrôles est de monter le niveau de sécurité des sites web français les plus utilisés dans différents secteurs et relevant d’organismes de toutes tailles, publics comme privés. Nous portons une attention particulière aux formulaires de recueil de données à caractère personnel, à l’utilisation de la technologie « https » et au recours à des mots de passe suffisamment robustes.

Face à l’intelligence artificielle, nous ne sommes pas désarmés, mais cette technologie nécessite une meilleure interrégulation. En 2017, nous avons publié un rapport sur la façon de permettre à l’Homme de garder la main face aux algorithmes et à l’intelligence artificielle. Il est consultable sur le site de la CNIL. Il a fait suite à une série de débats engagés en 2017 et permet de dégager les principes applicables à l’intelligence artificielle, qui ont d’ailleurs été repris par divers forums de discussion au niveau européen et international.

Sur la reconnaissance faciale, la CNIL avait publié un rapport fin 2019, car cette technologie peut faire appel à l’intelligence artificielle.

L’une des spécificités de la CNIL est de posséder une expertise technique très pointue, qui lui permet de comprendre comment fonctionnent ces systèmes, afin d’être en mesure de les réguler correctement en appliquant, avec l’aide de ses juristes, des principes technologiquement neutres inscrits dans le RGPD.

M. Philippe Latombe, rapporteur. Le CSA a émis un avis indiquant que l’accès aux sites pour adultes, à caractère pornographique, ne peut pas être rendu uniquement possible en cochant une case pour certifier de sa majorité. Elle demande que soit trouvé un système robuste pour contrôler la majorité des personnes souhaitant y accéder.

Le CSA préconise un système de paiement avec une carte bancaire, même si en posséder une n’est pas forcément une preuve de la majorité. Les sites concernés ont lancé une grande consultation pour savoir ce que leurs utilisateurs accepteraient pour prouver leur majorité, depuis la photographie de la carte d’identité au moyen de la webcam jusqu’à l’obtention d’un numéro dans une institution publique. Toutes ces pistes portent atteinte à la protection des données personnelles. Avez-vous échangé avec le CSA ? Plus généralement, quels sont vos rapports avec les autres autorités administratives, comme l’ARCEP, qui peuvent impacter les données ?

M. Gwendal Le Grand. Nous échangeons régulièrement avec les autres autorités administratives indépendantes. La CNIL est également saisie par l’autorité de la concurrence. L’interrégulation est primordiale, car les données personnelles sont utilisées dans tous les secteurs. L’interrégulation prend d’ailleurs corps dans les projets de texte au niveau européen.

Pour répondre à la question de la vérification de l’âge, le micropaiement n’est pas forcément efficace. En outre, le principe du RGPD de minimisation des données doit être respecté. Ainsi, les traitements nécessaires à la vérification de l’âge doivent être proportionnés aux risques pour les personnes concernées, en l’occurrence, les enfants.

Pour avoir vu le questionnaire de ces sites, j’ai pu constater que certaines méthodes proposées peuvent effectivement paraître très intrusives à leurs utilisateurs.

M. Philippe Latombe, rapporteur. À partir de ces exemples, pourriez-vous émettre spontanément des recommandations sur la méthode à employer auprès du CSA ?

M. Gwendal Le Grand. La question de la méthode de vérification de l’âge est actuellement étudiée par un groupe de travail, car elle se pose également pour l’accès des mineurs à des sites de réseau social.

Ce sujet est également européen. Une mesure d’urgence a été prise par notre homologue italien envers Tik Tok en ce qui concerne la vérification de l’âge. Il a été demandé à Tik Tok de modifier un certain nombre de paramètres par défaut pour vérifier que les utilisateurs ont l’âge requis pour s’inscrire à ce réseau social.

Cette question est techniquement difficile et la réponse dépend du contexte. En outre, ce sujet est de niveau européen.

M. Philippe Latombe, rapporteur. Vous avez été saisi par France Digitale d’une demande concernant Apple. Nous avons le sentiment que les « vilaines » GAFAM sont porteuses de tous les maux et que la souveraineté numérique serait de s’en affranchir. Capitalisent-elles vraiment le plus de risques et le plus de conflits ou s’agit-il d’un effet de loupe ? Est-il si difficile de leur faire comprendre la protection des données à l’européenne ? Sommes-nous si irréprochables vis-à-vis de nos entreprises ?

Nous entendons parler des Chinois uniquement par rapport à Huawei, mais peu par rapport à leurs applications de places de marché et de réseau social, alors qu’elles sont similaires à celles des GAFAM.

M. Gwendal Le Grand. En tant que régulateur, nous adoptons une approche indifférenciée vis-à-vis des acteurs. Les GAFAM sont majoritaires, tant en volume de données traitées qu’en nombre de plaintes qui nous sont adressées, leurs services étant massivement utilisés par les citoyens français. Nous traitons également les problématiques d’acteurs non américains. Tik Tok, par exemple, intéresse également les autorités nationales et européennes.

Encore une fois, des moyens dont nous disposons dépend le champ que nous sommes capables de couvrir au niveau européen. Vos exemples montrent la diversité des sujets auxquels nous sommes confrontés au quotidien, alors que nous ne sommes que 225 agents.

M. Philippe Latombe, rapporteur. Y a-t-il une question que nous n’avons pas abordée ?

M. Gwendal Le Grand. Non, je pense avoir couvert les principaux points.

Nous avons parlé du HDH, du développement d’un cloud souverain. La période nous offre une opportunité assez unique d’alignement des intérêts de politique industrielle et de protection des données. Ces problématiques se rejoignent, car le développement d’un cloud souverain nous permettra de conserver la maîtrise de nos données, de relever le niveau d’indépendance au niveau européen et de renforcer le niveau de cybersécurité des entreprises. Il servira ainsi nos droits fondamentaux et la protection des données. Toutes les déclarations des décideurs politiques sur la politique industrielle, la protection des données et le plan de relance vont dans le sens d’un meilleur contrôle, par la France et par l’Europe, des données traitées dans les infrastructures informatiques.

Nous devons profiter de cet alignement d’intérêts pour collectivement nous atteler au développement de solutions nous permettant d’être plus efficaces et plus agiles dans un environnement cyber plus sécure.

M. Philippe Latombe, rapporteur. Merci pour le temps que vous nous avez consacré et pour vos réponses. Nous sommes preneurs de vos futures contributions si vous avancez sur la protection des données de santé et d’autres sujets d’actualité.

M. Gwendal Le Grand. Nous nous tenons à votre disposition pour vous fournir des informations complémentaires sur les décisions de la CNIL. Nous vous adresserons les réponses au questionnaire dans les prochains jours.

M. Philippe Latombe, rapporteur. Lors des auditions avec les chercheurs en santé, ils ont formulé un souhait d’une plus grande rapidité et d’une meilleure fluidité dans le traitement de leurs demandes d’accès au SNDS. Il serait intéressant de leur transmettre un mode d’emploi simplifié.

M. Gwendal Le Grand. Dans le domaine de la recherche en santé, de nombreuses procédures simplifiées existent. Dans la plupart des cas, il n’est pas nécessaire d’obtenir une autorisation de la CNIL, tant que la demande est déclarée conforme à la méthodologie de référence. Des instruments génériques fluidifient effectivement les traitements.

Dans le cas de la crise Covid, nous avons mis en place une procédure spécifique pour autoriser les recherches le plus rapidement possible. Plus de 90 % des recherches impliquant la personne humaine ont pu être mises en œuvre, sans avoir à constituer un dossier auprès de la CNIL, sous couvert de leur conformité à une méthodologie de référence. Par ailleurs, sur près de 50 % des dossiers, l’autorisation a été délivrée en moins de deux jours.

Je rappelle à ceux qui estiment que la CNIL se montre un peu trop tatillonne vis-à-vis des données de santé que les fuites de données ont des conséquences lourdes. Un fichier contenant les données de 500 000 patients de laboratoires a récemment été découvert libre d’accès sur Internet. Or le domaine de la santé est particulièrement sensible.

M. Philippe Latombe, rapporteur. Mon propos visait simplement à vous engager à rappeler les bonnes pratiques, pour que les chercheurs n’aient pas ce sentiment.


—  1  —

Audition de M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
(25 mars 2021)

 

Présidence de M. Philippe Latombe, rapporteur.

(Les propos tenus au cours de l’audition à huis clos n’ont pas fait l’objet d’un compte rendu.)

 


—  1  —

Audition, ouverte à la presse, de M. Fabrice Brégier, président de Palantir France, de MM. Olivier Tesquet, journaliste spécialisé dans les questions numériques à Télérama, et d’Olivier Laurelli, cofondateur de Reflets.info (25 mars 2021)

Présidence de M. Philippe Latombe, rapporteur.

M. Philippe Latombe, président et rapporteur. Nous auditionnons cet après-midi M. Fabrice Brégier, président de Palantir France et ancien directeur général d’Airbus. Notre mission d’information a répondu favorablement à la demande de Palantir d’échanger avec nous et de participer à nos travaux. Nous accueillons également deux spécialistes des questions numériques, M. Olivier Tesquet, journaliste à Télérama et auteur d’un ouvrage récent, « État d’urgence technologique : comment l’économie de la surveillance tire parti de la pandémie », et M. Olivier Laurelli, journaliste hacker et cofondateur du site Reflets.info.

J’aimerais évoquer trois sujets principaux.

Je voudrais d’abord savoir ce que recouvre, selon vous, la notion de souveraineté numérique. Cette question rituelle de la mission est importante. Le sujet fait l’objet d’une attention croissante des pouvoirs publics depuis la crise sanitaire. Lors des auditions passées, nous avons eu l’occasion d’entendre plusieurs définitions de cette notion très large, que certains rapprochent parfois d’une forme d’autonomie stratégique ou décisionnelle. J’aimerais comprendre comment, en tant qu’acteur privé américain spécialiste du big data, vous appréhendez cette notion.

Je souhaiterais également vous interroger sur les solutions technologiques que vous proposez, que vous nous les présentiez succinctement, nous fournissant à grands traits leur fonctionnement. J’aimerais aussi savoir ce qui fait leur spécificité par rapport à l’offre de vos concurrents. Alors que certains pays, dont la France, entreprennent de se doter d’outils souverains, je me demande comment vous analysez cette dynamique européenne et mondiale.

Enfin, je voudrais que nous revenions sur les critiques qui vous ont été adressées, concernant la protection des données et votre proximité avec certains acteurs étrangers. Je souhaiterais ainsi savoir quelles sont les garanties proposées à vos clients, notamment publics, pour éviter que des données sensibles ne fassent l’objet de captations indues. Ce point fait également le lien avec les enjeux d’extraterritorialité du droit américain, le Cloud Act, le Foreign Intelligence Service Act (FISA), sur lesquels nous travaillons. J’aimerais savoir s’il existe des finalités pour lesquelles vous auriez déjà refusé ou vous pourriez refuser l’utilisation de vos solutions technologiques.

M. Fabrice Brégier, président de Palantir France. Vos travaux sont essentiels et portent sur un thème majeur. Palantir est un acteur important du big data dont beaucoup parlent alors que peu le connaissent. Ce n’est pas nécessairement de leur faute. Jusqu’à récemment, Palantir n’était pas une entreprise qui communiquait systématiquement sur ses produits et ses clients. Les règles ont changé dès lors que Palantir s’est introduite en bourse, en octobre dernier. Elle est désormais régie par une transparence très forte sur ses clients et ses produits, qui permettra de démystifier l’entreprise.

Le thème de la souveraineté est pour moi fondamental. J’ai travaillé dans l’industrie aéronautique pendant vingt-cinq ans. J’ai été à la tête d’entreprises souveraines de la défense ou de l’aéronautique, dans des secteurs clés pour notre industrie, en concurrence notamment avec de grands groupes américains, des sociétés très fortes dans le domaine.

En matière de numérique, la question de la légitimité ne se pose pas. Nous nous cachons quelque peu derrière l’Europe pour parler de la France. Le numérique est un domaine qui devient prépondérant. Il l’est déjà dans nos vies personnelles et Palantir est un acteur B to B très spécifique. Il le devient dans la vie publique, les modes de travail, les modes de vie, les modes de société. Il est normal qu’il y ait des débats sur la façon de réguler ce développement du numérique, sur les règles qui doivent être établies au plan national et sur la confiance que l’on place dans les acteurs.

Le numérique devient un différenciant majeur. On l’a vu pendant la crise du Covid. Pris de court, nous avons du mal à coordonner les services, à gérer la pénurie, à préparer la logistique pour la vaccination. Des solutions existent et sont mises en œuvre pour permettre ce genre d’actions au niveau des États, pour la lutte contre la grande criminalité, la fraude, le terrorisme, la protection des personnes, avec des débats politiques sur l’utilisation de telles technologies sans lesquelles nos populations sont moins protégées. C’est le soutien à nos forces. Je crois que la ministre des Armées l’a rappelé, le numérique devient aussi important qu’un avion de chasse ou un missile dans un certain nombre de missions. C’est aussi le cas pour le compte des entreprises, qui n’ont pas d’autre choix que de protéger leurs données et de les valoriser.

Palantir reste une petite société. Vous n’êtes pas face au représentant d’Oracle, d’Amazon, de Google ou de Microsoft. C’est une entreprise qui a un peu plus de 2 500 employés. Elle a été créée en 2004 dans la Silicon Valley, à la suite des attentats de septembre 2001, avec la conviction des trois fondateurs, qui sont restés actionnaires, dont l’un est président du conseil d’administration et un autre directeur général, que les nouvelles technologies permettraient de prévenir de tels attentats en regroupant l’ensemble des informations, qui étaient très dispersées, mais qui existaient, afin de les mettre à disposition des services d’enquête pour éviter ces attentats. Il s’agissait du fondement même de la création de cette société. Depuis, elle s’est développée sur ce créneau sécuritaire, aux États-Unis, mais aussi dans de nombreux pays d’Europe. La France a choisi cette solution pour son efficacité, en 2016. À partir de 2013-2014, les technologies ont été développées pour permettre aux entreprises commerciales de disposer d’outils qui favorisent l’intégration et la valorisation de leurs données.

Malgré sa faible taille, environ 1,1 milliard de dollars, mais en très forte croissance, Palantir est l’un des acteurs reconnus comme majeurs dans le big data. Elle a développé des technologies qui sont en pointe et qui n’ont pas d’égal, dès lors que l’on gère une grande complexité de données. La communauté de la tech la reconnaît comme telle.

Palantir travaille à la fois pour des gouvernements, le gouvernement américain notamment, mais aussi les démocraties occidentales, les pays européens, le Japon et la Corée du Sud. Elle ne travaille pas avec l’ensemble des pays. Elle ne travaille pas en Chine, en Russie et dans des pays dans lesquels l’utilisation de tels logiciels pourrait ne pas respecter certaines règles d’éthique du point de vue des fondateurs de l’entreprise.

Les missions gouvernementales sont variées. Elles ne sont pas limitées aux domaines que j’ai mentionnés. Elles peuvent aller de la lutte contre la fraude et la criminalité à des missions de préparation de plans d’investissement pour la transition énergétique ou la préparation des transports de demain. Elles peuvent concerner le soutien à une politique de santé dynamique, à grande échelle. Les applications sont devenues nombreuses. Des missions sont également menées pour certains ministères de la Défense, comme la maintenance du matériel, le regroupement des informations des capteurs du champ de bataille qui permettent aux troupes d’être davantage protégées.

Concernant l’entreprise, la plateforme Foundry – qui n’est pas spécifique, car nous ne sommes pas des experts d’un domaine particulier, nous sommes des experts de la donnée – valorise à très grande échelle les données fournies par le client lui-même, à partir d’un déploiement très simple, sur l’architecture qu’il a choisie. Cette plateforme couvre pratiquement tous les modules importants de la chaîne du big data. Elle se connecte aux données que le client souhaite intégrer. Elle en facilite la préparation, le nettoyage, la mise à jour. Elle donne ensuite la main aux opérationnels qui, par l’intermédiaire de modules, peuvent visualiser la donnée, faire du reporting, de l’analyse ou développer de l’algorithmie d’intelligence artificielle.

Nous ne sommes pas présents dans deux domaines. Le premier est l’algorithmie, qui doit être, selon nous, largement maîtrisée par le client et les entreprises avec lesquelles celui-ci souhaite travailler. Nous avons la chance d’avoir un grand nombre de start-up françaises extrêmement performantes et dynamiques. Le second domaine est celui de l’hébergement des données. Les solutions de Palantir fonctionnent avec de nombreuses solutions d’hébergement, des clouds, et, pour des usages stratégiques, gouvernementaux ou bancaires, des serveurs internes, ce que l’on appelle on premise. Ces derniers sont conservés et pilotés par le client. Les données ne sont pas diffusées à un tiers partenaire de cloud.

En d’autres termes, la spécificité de Palantir est d’avoir su intégrer dans une plateforme logicielle d’une grande simplicité d’utilisation, mais d’une grande complexité technologique, la continuité numérique, depuis la donnée source jusqu’à la mise à disposition de cette donnée aux opérationnels, y compris aux data scientists.

Les points forts sont cette capacité à se connecter à n’importe quelle source de données, de n’importe quel volume et n’importe quel niveau de complexité. Ce point a été démontré à de très nombreuses reprises.

Un autre avantage est la sécurité de la plateforme. Elle est essentielle dès lors que l’on regroupe des informations. Cela suppose qu’à travers cette plateforme, le client puisse établir une gouvernance de la donnée qui lui permette de vérifier les accès qu’il donne, pour quelle raison telle personne de l’organisation a accès à telle donnée. La plateforme permet aussi de tracer les logs, c’est-à-dire retrace qui utilise la plateforme et pour quel usage, de voir les modifications opérées par le client sur les données sources, avec une grande transparence sur les évolutions algorithmiques et logicielles mises en œuvre. L’objectif est de garantir une sécurité, une segmentation essentielle dès lors que l’on regroupe beaucoup de données.

À titre d’exemple, Airbus avait décidé de créer un écosystème pour être connecté à tous ses clients, compagnies aériennes, notamment pour améliorer la performance en service des avions. Des échanges de données sont acceptés entre les compagnies aériennes et Airbus, mais non entre les compagnies aériennes elles-mêmes, qui sont concurrentes. Cette plateforme a permis de le faire et de le démontrer à plus de cent reprises puisque 130 compagnies aériennes sont connectées à cette plateforme Skywise, pilotée par Airbus, qui est une première mondiale à cette échelle.

Une des autres spécificités de notre plateforme est que son design permet au client de respecter la loi et la protection des données personnelles. Vous me direz que c’est la moindre des choses, mais ce n’est pas partout évident. Il s’agit du legal by design. Nous n’avons pas eu à modifier le logiciel lorsque le Règlement général sur la protection des données (RGPD) a été édicté. Bien au-delà, nous permettons au client d’avoir une granularité beaucoup plus fine que ce qui est demandé actuellement par la loi. Non seulement nous ne regrettons pas la mise en œuvre du RGPD, mais ce type de règle est essentiel pour combiner l’utilisation de technologies qui sont indispensables pour que la France se modernise et ne soit pas dépassée par rapport à d’autres pays. Nous continuons ainsi à obéir à des règles d’éthique qui peuvent être tracées, contrôlées et auditées.

De plus, je n’ai guère vu de solution qui permette à des non-experts d’utiliser les données sur une plateforme. Foundry le permet. Elle fait le lien entre le monde de la donnée, de l’analytique et le monde opérationnel. Par exemple, si je suis un technicien de maintenance, je sais, sans formation particulière dans le numérique, utiliser des modules qui ne nécessitent pas que je sache coder ou même utiliser des tableaux Excel. Si je suis un ouvrier d’Airbus, un compagnon sur la chaîne d’assemblage, je vais pouvoir m’assurer qu’en cas de problème de qualité, j’ai des aides à la décision qui viennent du logiciel.

Le logiciel permet à diverses équipes de collaborer sur un sujet donné. C’est un élément essentiel de ce que peut apporter l’intégration des données. Nous savons faire travailler des sous-traitants avec des clients, différents secteurs d’activité qui sont normalement dans des « silos » organisationnels, notamment dans de grands groupes.

Enfin, je n’ai pas vu de limite de taille ou de complexité dans la gestion de bases de données de nos clients.

Je présente souvent Palantir comme un anti-GAFA, non seulement par la taille, mais aussi parce que nous ne récupérons pas de données. Nous nous refusons à faire du data crunching, c’est-à-dire aller récupérer des données pour le client. Des données sont disponibles en open source, de l’open data, ce qui est différent. Tout le monde a accès à ces données et nous permettons à nos clients de les intégrer très simplement.

Nous l’avons fait à de nombreuses reprises auprès de nos clients industriels pendant la crise du Covid. Il y avait beaucoup d’informations publiques. Ces entreprises devaient pouvoir réagir, établir des scénarios, faire des simulations en fonction des évolutions de l’épidémie, qui impacte la demande, leur clientèle, mais aussi leur base de sous-traitance, leurs flux d’approvisionnement. Nous avons apporté ces éléments en temps réel.

En outre, nous ne stockons pas les données. Ainsi, ce que j’entends sur le fait que Palantir récupérerait les données, de santé ou d’autres domaines, de ses clients et deviendrait le « roi du monde » est faux. Palantir n’a pas accès aux données, sauf lorsque le client demande un soutien spécifique d’ingénieurs de Palantir pour l’aider à atteindre des objectifs opérationnels.

Dans le travail d’enquête sur la lutte antiterroriste, l’un des domaines sensibles, les ingénieurs de Palantir et les enquêteurs ne travaillent jamais « main dans la main ». Les enquêteurs ont été formés pour valoriser eux-mêmes leur travail. Lorsqu’il y a besoin d’un soutien technique particulier, les équipes de Palantir sont présentes. En France, ce sont des ingénieurs français sortant des plus grandes écoles, qui ont été habilités, avec le degré adéquat d’habilitation, par le ministère de l’Intérieur.

Nous ne manipulons pas les données des clients. Nous ne les vendons pas, nous ne les monétisons pas. Nous permettons au client de valoriser lui-même sa mine d’or constituée de toutes les données disponibles, beaucoup plus vite qu’avec toute autre solution. Il peut soit rattraper son retard, soit prendre de l’avance sur les solutions plus classiques du big data qui sont proposées par de plus grands groupes. Palantir a investi au total environ 3 milliards de dollars depuis sa création, dans seulement deux plateformes logicielles, l’une pour un usage d’enquêteur gouvernemental, l’autre, générique, pour l’ensemble des autres activités, notamment commerciales.

Enfin, vous pouvez penser que si vous travaillez avec Palantir, vous serez « scotchés » à tout jamais avec nous, que si vous déployez la plateforme logicielle, vous serez pieds et poings liés, ce qui peut vous poser un problème de souveraineté. Vous ne voulez pas dépendre d’un partenaire dans la durée. Sachez d’abord que la plupart de nos clients étendent leurs contrats et que dans le domaine commercial, où la concurrence est forte, la durée moyenne de ces contrats s’établit à plus de six ans, ce qui montre une relation de confiance.

De plus, la plateforme logicielle n’est pas basée sur des codes propriétaires, que vous trouverez chez des éditeurs que je ne nommerai pas, dont certains sont français. Vous choisissez leur logiciel, il peut être excellent, mais ensuite, il est quasiment impossible d’en sortir. J’ai vécu cette expérience dans l’aéronautique, au moins auprès de deux grandes entreprises mondiales. Là, vous avez une plateforme logicielle dont la propriété intellectuelle appartient à Palantir, mais tout ce qui est développé peut l’être avec des codes du commerce, de l’open source. Tout ce qui est développé par le client lui appartient. Nous ne discutons pas de ces points.

Nous avons également démontré, à de nombreuses reprises, la réversibilité de la solution. Un client qui a développé son intégration et son analyse de données sur la plateforme peut, dès lors qu’il y aurait un concurrent meilleur ou français, changer simplement cette solution. Nous faisons évoluer en permanence les technologies et nous conservons une longueur d’avance sur la concurrence. Notre intérêt commercial est d’expliquer au client qu’il n’est pas bloqué avec nous et que nous travaillons dans un partenariat qui peut évoluer dans la durée. Nous espérons conserver le client, mais il peut sortir.

En France, nous sommes passés d’une trentaine d’ingénieurs, lorsque j’ai rejoint Palantir, fin 2018, à un peu plus d’une centaine. Nous sommes restés stables l’année dernière. Ce sont des ingénieurs de très haut niveau, qui ont une double compétence. Ils ont évidemment une compétence de data science. Ils sont capables de maîtriser parfaitement les outils, de former des utilisateurs. Ils ont aussi un sens business qui leur permet d’appréhender les enjeux opérationnels des clients. S’il s’agit, par exemple, de qualité de produits en usine, il faut être capable d’aller dans des usines et de s’interfacer avec de vrais opérationnels, les aider à comprendre ce qu’ils peuvent faire de cette plateforme.

Nous avons très peu d’équipes commerciales, ce qui est sans doute un point de faiblesse. Nous essayons de vendre notre produit à travers son excellence technique et notre approche de partenariat.

Nous avons la volonté de devenir, malgré la nationalité de la société mère, un acteur français de la tech – piloté par des ingénieurs français, lorsque cela est demandé. De plus en plus de groupes internationaux sont basés en France et nécessitent des équipes internationales, mais dans les cas de missions de souveraineté, il est bon de proposer des ingénieurs de talent, qualifiés, si nécessaire habilités et français.

Enfin, nous nous inscrivons dans un cadre où nous ne sommes pas un spécialiste de l’intelligence artificielle. Nous facilitons très grandement le travail des start-up qui, elles, pour la plupart, sont focalisées sur une application, sur des algorithmes qui permettent de donner de la valeur dès lors que les données sont disponibles. Nous sommes le catalyseur d’un écosystème. Je viens d’un grand groupe, le groupe Airbus. Il n’y avait pas que les avions dans ce groupe, il y avait aussi les activités de défense. Nous étions en discussion avec tous les autres « gros », ces grands groupes n’ayant ni l’ADN ni l’intérêt de développer un écosystème de start-up françaises qui viendraient petit à petit montrer qu’elles sont plus dynamiques et casser leur monopole.

C’est d’ailleurs ce que Palantir a fait aux États-Unis. Pendant des années, elle a été rejetée du ministère de la Défense. Les « gros » là-bas s’appellent Northrop Grumman, Lockheed Martin, Boeing et bien d’autres. Ils étaient en relation privilégiée avec le ministère de la Défense et se lançaient dans de très grands programmes qui coûtaient des milliards de dollars, une somme à l’échelle américaine, alors que ces « zouaves » de Palantir venaient avec des solutions logicielles qui ne coûtaient même pas 10 % de ces sommes. Ils ont été rejetés pendant des années. Il a fallu qu’ils se battent avec persévérance pour faire changer les règles d’achat aux États-Unis et faire en sorte que les solutions logicielles soient démontrées avant d’être achetées. Si nous procédions ainsi en France, nous aurions beaucoup plus de start-up qui deviendraient des licornes.

Je n’ai pas la prétention de vous apporter la définition de la souveraineté du groupe Palantir. Je vous donne la mienne, en tant que président de Palantir France, citoyen et, je l’espère, acteur de la souveraineté, au moins pendant ma carrière dans l’aéronautique. Pour moi, être souverain, c’est être capable de maîtriser son destin, être capable, dans le domaine du numérique, de faire appel aux meilleures technologies pour atteindre nos objectifs. Ils peuvent être de protéger la nation française, de réformer l’État, d’avoir une politique de santé dynamique, en utilisant les meilleures technologies, tout en en contrôlant l’usage. La technologie numérique, si elle est bien faite, permet les deux.

Pour moi, la souveraineté numérique française ou européenne tient dans cette capacité à définir ses propres règles. La France et l’Europe n’ont pas tout à fait les mêmes règles que les États-Unis ou le Royaume-Uni. Il revient à l’Europe de définir ses règles, comme elle le fait dans GAIA-X. Elle doit dire ce qu’elle attend en tant que client, le check and balance, définir un cadre clair et faire en sorte qu’il soit toujours possible, par le politique, de vérifier comment l’administration utilise les solutions numériques.

M. Philippe Latombe, rapporteur. Ce n’est pas méchant, mais vous seriez une femme, je vous épouserais tout de suite. Vous avez toutes les qualités. Vous présentez la société Palantir comme respectant la totalité de toutes les règles. Vous dites que vous n’avez même pas eu besoin de modifier le logiciel au moment de l’arrivée du RGPD parce que vous aviez un legal by design d’une granularité extrêmement fine. Comprenez-vous les « levées de bouclier » à l’encontre de Palantir, notamment parce que vous vous êtes exprimé sur la souveraineté française et européenne dans une émission de télévision ?

Nous devrons aussi parler de vos origines et de votre capital. Vous dites que vous êtes petit, mais vous pesez quand même autour de 20 à 25 milliards de dollars de capitalisation. Vous générez 1,1 milliard de dollars de chiffre d’affaires. Comprenez-vous ce mouvement, qui est aussi lié à GAIA-X ? Le fait que vous vous associiez au projet a généré une levée de boucliers et une inquiétude très forte de l’écosystème numérique français et européen. On ne comprend pas comment une société américaine de votre calibre participe de la souveraineté française ou européenne.

M. Fabrice Brégier. La souveraineté, c’est bâtir cet ensemble de règles, ce n’est pas être opposé à toute évolution technologique, et je sais que vous ne l’êtes pas. C’est utiliser le meilleur de ces technologies, sans lesquelles la France sera définitivement dépassée, c’est une certitude, au plan militaire, de la réforme de l’État, de son efficacité et de la performance de ses entreprises. C’est aussi en définir les règles pour qu’elles soient compatibles avec nos règles d’éthique, pour qu’il y ait un espace de confiance, pour que cela puisse être bâti dans une architecture de souveraineté, avec des supra-acteurs complètement souverains. C’est aussi stimuler un écosystème créateur de valeur pour la France.

La définition pourrait être autre, et j’ai parfois l’impression que c’est le cas. Votre question me le fait penser. Si pour vous, la souveraineté, c’est utiliser des solutions françaises, nous aurons des soucis, et je ne parle même pas de Palantir, je parle des GAFA, pour pouvoir les rattraper et faire en sorte que chaque Français puisse utiliser des logiciels purement français. Là, vous êtes soumis au lobbying des grands groupes franco-français. Ce lobbying est très simple : il consiste à dire que la souveraineté est un point tellement important qu’elle doit être pilotée par des acteurs français. Je pense que c’est une mauvaise définition. La souveraineté est très importante, vous en définissez le cadre. Il est évidemment nécessaire de faire en sorte que des acteurs français émergent, que des start-up se développent au plan national, qu’elles soient soutenues. Peut-être, dans certains domaines sensibles, faut-il seulement des acteurs français compte tenu de cette sensibilité, mais la souveraineté, ce n’est pas faire le lit des lobbyistes des grands groupes français, dont je faisais partie il y a peu de temps.

Je n’ai pas d’acteurs de lobbying chez Palantir. En ayant rejoint Palantir France, je pense que je contribue à la performance de mes clients, à ce que les clients commerciaux jouent d’égal à égal avec leurs grands rivaux. J’ai contribué à ce qu’Airbus, en s’appuyant sur Palantir, pourtant société américaine, relègue Boeing au second plan sur le digital. Demandez aux acteurs du monde de l’aéronautique ce qu’ils en pensent. Il y a cinq ans, Boeing était pourtant très en avance sur Airbus. L’avons-nous fait la « fleur au fusil » ? Non. Nous avons audité cette société, nous avons regardé sa façon de travailler. Dans ce cas spécifique, puisqu’il n’y avait que deux acteurs au plan mondial, nous avons demandé à Palantir d’exclure Boeing de ses clients potentiels. Le résultat est manifeste et démontre que cette association a permis à Airbus de gagner non seulement en performance, mais aussi en relation avec ses clients.

Cette souveraineté peut aussi être au service de l’État. Quand j’aide indirectement un État comme la France à lutter contre le terrorisme, je pense que c’est un acte souverain, que la nationalité du logiciel n’a aucun intérêt et que dans le cas où un logiciel français arriverait à réaliser cette performance pour d’autres raisons, il serait possible de nous remplacer. Nos solutions sont réversibles.

S’agissant de GAIA-X, je l’ai dit, nous ne sommes pas un acteur du cloud. Nous sommes en relation avec ces sociétés du cloud. Nous travaillons avec Amazon, Azure, Google, avec des systèmes propriétaires auprès de nombreux clients gouvernementaux. Nous ne souhaitons pas définir notre propre politique, mais partager notre expérience parce que notre intérêt est que l’Europe se dote de règles claires pour avoir des clouds dits souverains.

M. Philippe Latombe, rapporteur. Vous avez légèrement transformé mes propos. Je vous posais simplement la question de savoir comment vous perceviez ce qui est dit sur vous. Je n’ai pas posé de définition particulière de la souveraineté dans ma question.

Sur les clouds, nous avons des questions juridiques. Palantir est-elle soumise à des règles extraterritoriales américaines ? Si oui, lesquelles ? Y a-t-il eu des demandes de la part d’autorités américaines vis-à-vis de Palantir ? Qu’y avez-vous répondu ? Comment répondez-vous à ces demandes quand elles sont présentées ? Nous avons une vraie question sur l’extraterritorialité : le fait que vous soyez Palantir France n’exclut pas des règles extraterritoriales américaines.

M. Fabrice Brégier. Palantir n’a pas accès aux données de ses clients. Elle n’héberge pas les données. Elle n’est pas un acteur du cloud. Vous choisissez Palantir et, par exemple, AWS pour la solution cloud ou Microsoft Azure, les deux grands leaders dans le domaine de l’entreprise. J’espère qu’OVH arrivera prochainement à ce niveau grâce à son partenariat avec Google. Le client décide qui héberge ses données, avec ses propres clés de cryptage. Palantir n’étant pas un acteur du cloud, elle n’est pas soumise au Cloud Act. À ma connaissance, depuis que je suis chez Palantir, nous n’avons jamais reçu une demande de la nature que vous évoquez.

M. Philippe Latombe, rapporteur. Vous ne répondez pas sur le FISA.

M. Fabrice Brégier. Je ne sais pas ce que vous évoquez. Nous déployons une plateforme logicielle totalement maîtrisée par le client. Même si nous étions sous pression de quelque autorité, nous ne pourrions pas transférer de données. Nous ne sommes pas dans une logique de cloud provider américain, qui, même avec un hébergement de données en France ou en Europe, peut être sous pression de son instance dirigeante puisqu’elles sont hébergées sur ses propres serveurs. Nous n’avons pas à être soumis à ces règles.

M. Olivier Tesquet, journaliste spécialisé dans les questions numériques à Télérama. À vous écouter, Palantir serait une entreprise franco-française. Il manque tout de même des éléments de contexte importants. Cette entreprise a été fondée après les attentats du 11-Septembre, avec des fonds d’In-Q-Tel, le fonds d’investissement de la CIA. Le palantir, pour une personne qui serait familière de l’univers du Seigneur des Anneaux, c’est cette pierre qui permet de voir partout, tout le temps. Ce nom signe tout de même un pedigree.

S’agissant de souveraineté ou de sentiment d’appartenance à une nation ou à une valeur, je relisais avant cette audition la documentation qu’avait fournie Palantir à la Securities and Exchange Commission (SEC), l’autorité des marchés financiers américaine, juste avant son introduction en bourse. Je lisais la lettre qu’avait transmise Alex Karp, le patron de l’entreprise. Il écrivait que les solutions logicielles de Palantir étaient utilisées par les États-Unis et leurs alliés. La formulation m’a quelque peu interpellé, parce qu’elle montre que nous sommes face à une entreprise américaine qui évolue dans un environnement constitué de pays considérés comme amis.

Après avoir lu cette petite phrase, me sont revenus immédiatement en mémoire les propos de Jean-Jacques Urvoas, qui n’était pas encore garde des Sceaux à l’époque, mais président de la commission des lois de l’Assemblée nationale. Il avait déclaré : « Les États-Unis n’ont pas d’alliés, ils n’ont que des vassaux et des cibles. » Il ne parlait pas spécifiquement du renseignement, mais c’est particulièrement vrai dans ce domaine.

Dans ces conditions, je m’interroge sur l’obédience d’une société comme Palantir, qui a comme membre fondateur Peter Thiel. Il est le grand argentier conservateur de la Silicon Valley, mais il a le droit d’avoir l’appétit et les affinités politiques qu’il souhaite. Nous ne sommes pas face à quelqu’un qui est anodin. Dans des écrits de 2009, il a, par exemple, fait des déclarations indiquant que la liberté et la démocratie n’étaient pas forcément des valeurs très compatibles. Il est un libertarien, avec une vision assez absolutiste. Je me souviens également d’une interview qu’il avait donnée sur Reddit  en 2014. Il y expliquait que Palantir n’était pas une façade de la CIA, la CIA était une façade de Palantir. Il pouvait s’agir d’une provocation, mais ces propos interpellent malgré tout. Ils peuvent susciter une forme de méfiance.

M. Fabrice Brégier nous a également expliqué que Palantir était l’anti-GAFA, mais Peter Thiel siège au conseil d’administration de Facebook. Nous avons appris ces derniers mois qu’il avait financé la société Clearview, à hauteur de quelques millions de dollars, ce qui n’est certes pas grand-chose. Elle fait de la reconnaissance faciale. En aspirant des visages sur Internet, elle a construit la plus grande base de données de reconnaissance faciale, vendue ensuite à des forces de police, ce qui a suscité plusieurs contentieux.

M. Fabrice Brégier. Vous n’interrogez pas Peter Thiel.

M. Olivier Tesquet. Je sais, mais vous êtes le représentant d’une entreprise dont le cofondateur est Peter Thiel.

M. Fabrice Brégier. Peter Thiel est quelqu’un de très respectable, mais nous n’allons pas passer une demi-heure sur lui. Nous pourrions passer une demi-heure sur le vrai dirigeant opérationnel, Alex Karp, qui a le profil opposé. C’est un juriste qui possède un doctorat de philosophie, qui est démocrate et pro-européen.

M. Olivier Tesquet. J’entends que le « pedigree » de M. Karp est différent. Je remarque d’ailleurs que chaque fois qu’il s’agit d’éteindre l’incendie, comme quand Palantir est accusé d’être le bras armé de la politique migratoire de Donald Trump et de favoriser l’expulsion de milliers de clandestins aux États-Unis sous la mandature précédente, on envoie Alex Karp pour faire un peu de relations publiques. Il n’aura échappé à personne qu’il était plutôt d’obédience marxiste, qu’il a étudié avec Habermas quand il était en Allemagne. Personne ne le conteste. Je me souviens toutefois d’une interview au Financial Times, à l’automne dernier, dans laquelle il expliquait que ce qui se jouait était une bataille pour l’Intelligence artificielle entre les États-Unis et la Chine et que l’hyperpuissance qui remporterait ce combat régnerait sur le monde.

Je sais que ce n’est pas l’audition de Peter Thiel, mais celui-ci dirige un fonds d’investissement, le Founders Fund. Il finance un certain nombre d’entreprises. Je pense à une autre société qui tire son nom du Seigneur des Anneaux qui s’appelle Anduril, fondée par Palmer Luckey. Il a créé les casques Oculus de réalité virtuelle. Parmi ses premières inventions, il avait mis au point un mur virtuel qui avait vocation à remplacer le mur physique que ne pouvait pas se payer Donald Trump.

Nous sommes donc quand même face à une entreprise qui vise une protection assez explicite des intérêts américains, qui est présentée comme telle. Il me semblait important de le rappeler. Par ailleurs, je pense que ces interrogations infusent assez haut dans l’appareil d’État en France. La DGSI travaille depuis longtemps sur des alternatives à Palantir pour essayer de s’en dégager. Je crois savoir, et je ne suis probablement pas le seul dans cette réunion, que la solution ne fait pas l’unanimité au sein de l’état-major français.

M. Fabrice Brégier. Je ne sais pas ce qui vous permet de dire cela.

M. Olivier Tesquet. Un projet qui s’appelle OTDH a vocation à remplacer Palantir.

M. Fabrice Brégier. Je ne peux pas vous laisser dire cela. Le partenariat est suffisamment confidentiel pour que je n’en divulgue pas les détails. Il a été exemplaire, après un début difficile. Tout le monde est « tombé » sur le choix de la solution américaine, « Palantir agent de la CIA », début 2016, notamment toutes les entreprises françaises qui, à l’époque, en échange d’une somme de l’ordre de 500 millions d’euros, étaient prêtes à développer, en trois ans, un logiciel pour le compte de la DGSI. Ainsi, pendant trois ans, nous ne faisions rien, nous ne luttions pas efficacement contre le terrorisme. Or, trois ans après, il n’y a toujours pas de solution disponible et notre contrat, lui, a été prolongé pour au moins trois ans. Prendre ce contrat juste pour ses propres intérêts, à coups d’argent public, pour essayer de développer une solution nationale qui ne marche toujours pas, six ans après, je considère que c’est agir contre la souveraineté de la France.

M. Philippe Latombe, rapporteur. Cette question fait partie de celles que cette mission a soulevées depuis de nombreuses auditions.

M. Fabrice Brégier. C’est pourquoi je suis ravi de pouvoir m’exprimer sur le sujet.

M. Philippe Latombe, rapporteur. Vous vous présentez comme un anti-GAFAM. Or, nous savons qu’il y a eu une volonté hégémonique des GAFAM de prendre commercialement la place, de prendre le marché et d’instaurer leurs propres standards. Qu’est-ce qui rassurerait et montrerait que Palantir ne ferait pas la même chose à terme ?

Vous nous dites également que vous stimulerez l’écosystème. Vous l’avez dit vous-même, Palantir a été retenu par la DGSI pour le premier appel d’offres de trois ans, renouvelé par un deuxième appel d’offres de trois ans. Pendant ce temps-là, qui peut prendre votre place et qui peut avoir la surface technologique et l’expérience pour développer une solution ? N’est-ce pas antinomique d’être le leader et de dire que vous permettrez l’émergence d’un écosystème ? C’est une question ouverte, qui serait valable pour d’autres acteurs américains, pas simplement Palantir.

M. Fabrice Brégier. La phrase concernant les États-Unis et ses alliés correspond à ce que j’ai dit en d’autres termes : États-Unis et démocraties occidentales. J’y ai ajouté le Japon et la Corée du Sud, qui n’ont rien d’occidental, mais qui sont des alliés des États-Unis. L’image vise à rappeler que nous ne vendons pas ces logiciels au monde entier. Regardez les entreprises françaises d’armement : elles vendent à un spectre beaucoup plus large, sans savoir ce que sera l’utilisation finale de ces armements, avec l’accord de l’État. Là, c’est une autocensure de Palantir. Vous pouvez l’interpréter et faire de la genèse de texte pour savoir si la France est un véritable allié des États-Unis, mais arrêtons. La France, l’Allemagne, les pays nordiques, le Royaume-Uni, l’Europe du Sud, le Japon, la Corée sont clairement dans cette catégorie. Ce n’est pas une demande des États-Unis, c’est une autocensure décidée par Alex Karp, compte tenu de l’importance de telles technologies et des garde-fous qui doivent être prévus. Elles doivent être utilisées par des démocraties, qui définissent ensuite leurs propres règles.

Palantir assume de travailler pour les gouvernements, contrairement aux GAFA. Les GAFA ont pris l’argent des États-Unis et ont tourné le dos au gouvernement américain. C’est en tout cas ce qu’affirme Alex Karp. Nous, nous assumons totalement d’avoir des missions de souveraineté pour les gouvernements, et pas seulement pour le gouvernement américain. Travailler dans les pays d’Europe du Nord n’est pas simple. Il faut leur démontrer tout ce qui doit être fait pour la protection des données personnelles. C’est au moins aussi sévère qu’en France.

Nous l’avons fait dans tous les pays, si ce n’est qu’en France, nous avons des entreprises qui n’acceptent pas qu’une start-up de cette nature, qui, certes, emploie maintenant 2 500 salariés, prenne leur place. Elles ont des capacités de lobbying et font jouer la fibre nationale, pour ne pas dire nationaliste, et celle concernant In-Q-Tel et la CIA. Or, la France doit agir de la même façon.

Le métier d’In-Q-Tel est de dénicher des pépites qui peuvent aider à la sécurité nationale des États-Unis. Palantir a été un bon choix de ce point de vue. Je ne sais même pas si In-Q-Tel est toujours au capital. Le fonds n’apparaît pas dans les rapports dans la mesure où le capital est désormais détenu en totalité par des investisseurs privés. Les règles de marché régissent Palantir, mais ces fonds ont permis à la société de prendre des risques et de se développer au-delà de ses investisseurs d’origine.

En France, il me paraîtrait intéressant que Bpifrance continue son travail remarquable d’investissement dans des entreprises de taille intermédiaires (ETI) ou même des grands groupes stratégiques, mais aussi dans les fonds d’investissement à l’usage de la tech et des start-up. J’ai également en tête le fonds Definvest, piloté par le ministère des Armées, qui investit dans des start-up de la tech. Dirions-nous que ces start-up sont dans la main du ministère de la Défense français, ne peuvent pas travailler à l’étranger, ne peuvent pas exporter ? Certainement pas. Un coup de pouce leur est donné et cela s’arrête là. Le parallèle doit être fait avec Palantir, qui assume de travailler pour les États, contrairement aux GAFA.

La capitalisation boursière des GAFA se situe autour de 1 000 milliards de dollars. Nous n’en sommes pas encore là. Nous ne sommes pas du tout comparables à la taille d’un GAFA. Nous n’avons pas les mêmes pouvoirs de lobbying, en France, en Europe ou à Bruxelles. Nous n’avons personne. Nous sommes une petite structure.

Nous aidons les clients à valoriser leurs données, nous n’y avons pas accès et nous n’avons pas l’intention de les monétiser, de les transformer ou de les vendre. Je ne peux pas le dire plus simplement. C’est un schéma établi. Même quand on nous demande si nous pouvons faire du crunching de données, sur Facebook ou autres, nous nous y refusons. C’est au client de le faire. D’autres entreprises ont moins de scrupules et le font pour lui. Nous, nous prenons les données de nos clients et nous les aidons à les valoriser et à les intégrer. C’est pour ces raisons que cette appellation d’anti-GAFA fait sens quant aux règles de comportement.

M. Olivier Tesquet. Je suis d’accord avec vous sur plusieurs points, mais je n’ai pas particulièrement de fibre nationale ou nationaliste sur ces questions. Je ne suis pas lobbyiste. Je crois que mon travail sur ces sujets me confère un certain totem d’immunité sur ce point.

M. Fabrice Brégier. Absolument.

M. Olivier Tesquet. Je vous rejoins sur le fait que, contrairement aux GAFAM, votre actif principal n’est pas publicitaire. Il ne provient pas de données personnelles que vous vendriez au plus offrant pour garantir votre hégémonie commerciale. En revanche, la manière dont vous présentez les choses donne presque l’impression que vous êtes une entreprise caritative et je ne vois pas très bien comment vous créez de la valeur.

M. Fabrice Brégier. Nous vendons notre logiciel.

M. Olivier Tesquet. Oui, des entreprises achètent le logiciel et paient des licences. En revanche, que se passe-t-il concrètement quand une entreprise, une administration ou un ministère veut se désengager ? Je me souviens d’un contentieux avec la police de New York. Quand elle a voulu se désengager de Palantir, elle a eu toutes les peines du monde, non pas à récupérer ses données, puisque celles-ci lui appartenaient, mais l’interprétation qui en avait été faite. Qui est propriétaire de cette analyse ? Quand Palantir signe avec le National Health Service (NHS), le système de santé publique britannique, celui-ci fournit ses données hospitalières dans un contexte sanitaire compliqué, avec gradation du contrat d’une livre symbolique, puis à un million de livres et jusqu’à vingt-trois millions de livres. Je suppose que des simulations sont réalisées à partir de ces données : ces données sont-elles alors entre vos mains ?

M. Fabrice Brégier. La réversibilité est un sujet fondamental. Les développements réalisés par le client, que ce soit les travaux sur la donnée, les algorithmes, tout ce qui « tourne » sur la plateforme, lui appartiennent. Il n’y a pas de problème de propriété intellectuelle. Cette garantie est contractuelle. Ensuite, tous les développements dans des langages ouverts peuvent être réutilisés tels quels par une plateforme du même acabit, sans difficulté. Nous avons aussi démontré à des clients qui souhaitaient changer de société de cloud que nous pouvions les aider à transposer toutes leurs données de la société A à la société B, en quelques semaines, ce qui constitue un exploit dans le cas d’un très grand groupe. Cette réversibilité existe donc.

Je suis dans le camp du pragmatisme. À supposer que la définition que vous retenez de la souveraineté soit d’en faire le maximum en France, dès lors qu’une solution française serait disponible, elle pourrait se substituer à celle de Palantir. Entretemps, que faisons-nous ? Rien ? Il y a des domaines considérables d’amélioration de la performance de l’État grâce à des solutions comme la nôtre.

Vous avez cité celui de la santé. Il est très sensible dans la mesure où il agrège des données personnelles et des données de santé. Sur nos plateformes, il n’y a pas de données personnelles. Elles sont regroupées et anonymisées. Une telle plateforme sert à suivre le comportement de l’épidémie. Vous n’avez pas besoin de savoir que Fabrice Brégier ou M. Dupond est dans telle ou telle catégorie. Généralement, le client lui-même prend ses propres protections, car il est, à juste titre, sous la supervision d’équivalents de la commission nationale de l’informatique et des libertés (CNIL). Les éléments sont utiles aux chercheurs, aux épidémiologistes pour suivre l’évolution de l’épidémie en temps réel à l’échelle du pays, de la région ou du quartier. La granularité forte maintient cette anonymisation.

La plateforme sert aussi à tout ce qui a trait à la chaîne logistique, autour de l’organisation des moyens de secours, des hôpitaux, de la vaccination. Ce n’est pas Palantir qui décide qui sera vacciné. Nous n’en savons rien. Les services de l’État coopèrent et décident quelle catégorie de population doit l’être. Ces personnes sont cependant pré-identifiées grâce aux bases de données et la diffusion peut être immédiate. En cas de changement, si une région devient beaucoup plus touchée, il est aussi possible de prendre des décisions immédiates et toute la chaîne logistique se met en œuvre.

Nous n’avons pas accès aux données personnelles, aux données de santé. Il n’y a pas de complot de Palantir qui nous permettrait de récupérer les données aux États-Unis, en Angleterre et dans d’autres pays du monde pour devenir le super connaisseur du domaine de la santé. Ce n’est pas ce que nous faisons et ce n’est pas ce que nous cherchons. Nous vivons en apportant des solutions immédiates, dans ce cas précis à une gestion de crise, en rendant service et en valorisant ce service à travers la vente d’une licence et le soutien d’équipes pour intégrer les données. Le seul lien qu’il peut y avoir avec des données intervient lorsque le client demande le soutien des ingénieurs de Palantir pour intégrer des données, toujours sur la plateforme d’hébergement du client. Ces éléments ne vont pas sur un serveur de Palantir. J’imagine qu’aux États-Unis et au Royaume-Uni, si ces ingénieurs répondent à des demandes de souveraineté plus poussée, ils seront aussi habilités.

Mes ingénieurs sont des ingénieurs de premier plan, qui ont la mission pour l’État chevillée au corps. Cela me fait mal au cœur pour eux qu’on suspecte qu’ils pourraient voler des données pour le compte de puissances étrangères alors que, par ailleurs, les portes sont grandes ouvertes pour des ingénieurs indiens, en sous-traitance de SSII françaises qui travaillent pour le Gouvernement français. Ce sont deux poids, deux mesures et vous devriez regarder ces aspects.

M. Philippe Latombe, rapporteur. Vous vendez des licences du logiciel Palantir. Vous n’êtes pas en langage propriétaire. Pour quelle raison personne ne vous a-t-il copié et n’arrive-t-il à avoir le même niveau que le vôtre ?

M. Fabrice Brégier. Le fait que toutes les interfaces ne soient pas en langage propriétaire ne veut pas dire que nous confions la propriété de ce que nous avons créé au monde entier. Nous protégeons notre savoir-faire. Si vous travaillez sur la plateforme de Foundry, vous n’êtes pas piégé parce que vous le faites avec des langages du commerce, que je ne vais pas énumérer. Ce sont les langages les plus classiques. Il s’agit d’un choix délibéré et raisonné. C’est le moyen d’avoir les logiciels les plus communs, donc sur lesquels la communauté d’ingénieurs travaille pour qu’ils soient les plus performants.

Selon notre vision, la vente de logiciels numériques se normalisera : d’ici quelques années, cinq ou dix ans, je ne sais pas, plus personne n’acceptera d’acheter des morceaux de logiciels qui ne se parlent pas entre eux et d’être obligé de faire un travail d’intégration. Quand vous achetez une voiture, on ne vous livre pas le moteur d’un côté et la boîte de vitesse de l’autre. Vous achetez un véhicule, avec l’intelligence intégrée à bord. Pour le numérique et le digital, ce sera la même chose. Vous ne pourrez le faire que si les briques sont basées sur du logiciel du commerce.

Pourquoi restons-nous à part ? Pourquoi même Microsoft ou Google ne font-ils pas ce que nous faisons ? Ils n’ont pas eu la même stratégie. Ils se sont surtout concentrés sur le cloud, qui est très profitable et nécessite d’énormes investissements. Ils possèdent cette capacité financière et de très bonnes technologies. Ils ont aussi misé sur l’Intelligence artificielle, l’analyse de la donnée, la création de la valeur, indépendamment de leur métier de GAFA. Palantir a travaillé sur l’amont, sur ce qui est aride, ce qui ne se voit pas : comment aider les clients à intégrer des sources de données disparates, de mauvaise qualité, pour leur permettre de remplir leur mission. Très peu d’entreprises l’ont fait de façon systématique. Nous avons une multitude de concurrents sur chacune des sous-briques, mais nous n’avons pas de concurrent frontal capable d’offrir cette solution. Cela ne veut pas dire que des clients ne peuvent pas développer leur transformation numérique sans Palantir, mais relier l’ensemble de ces sous-briques entre elles pour en tirer une véritable valeur suppose beaucoup plus d’efforts. Voilà le réel savoir-faire de Palantir, qui est le maitre d’œuvre de cette intégration de données.

Nous avons quand même investi trois milliards de dollars en R&D depuis la création de l’entreprise. L’avantage de ces sociétés américaines est que des investisseurs y croient. Dans notre cas, ils ont eu raison, mais ils auraient pu perdre leur investissement. Palantir reste un leader dans ce domaine.

M. Thomas Gassilloud. Le dilemme pour la France est de savoir si nous dépensons notre énergie en faisant confiance à une solution tierce, pour une efficacité à court terme, ou si nous faisons des efforts en interne, tout de suite, avec moins de résultats immédiats, mais en capitalisant sur le long terme. Nous pourrions énumérer le nombre de solutions technologiques pour lesquelles nous avons choisi d’investir dans nos propres solutions, avec des outils moins efficaces dans un premier temps, mais une autonomie stratégique par la suite. Plus nous attendons, plus il est potentiellement difficile de rattraper le retard. Le défi opérationnel pousse à développer des solutions.

Pour ma part, j’ai un peu plus de doutes sur la réversibilité de la solution de Palantir. Elle a l’air très efficace, mais elle impose quand même, en interne, dans les organisations, beaucoup de formations, de l’intégration. Elle ne serait donc pas immédiatement transposable.

En outre, je n’ai pas la vision complète des effectifs de Palantir en Europe, mais j’ai lu par ailleurs qu’il y avait 600 chercheurs en Angleterre et une centaine en France. J’aimerais connaître les effectifs au niveau de l’Union européenne. Je pense qu’il faudra une répartition si vous avez une ambition en Europe.

Je voudrais également modérer vos propos sur le fait que vous feriez peu d’efforts commerciaux. Je pense plutôt que vous faites des efforts gratuitement, en avant-vente, pour rencontrer des gens et leur demander leurs données pour voir ce que vous pourriez en faire. Je pense qu’avant de signer le contrat avec Airbus, Palantir a mis des ingénieurs à disposition pour faire parler les données. Avec les entreprises françaises, il y a peut-être un déficit quant à la capacité à investir de l’argent avant même de signer des contrats.

Enfin, j’aimerais votre avis sur Artemis.

M. Fabrice Brégier. Pourquoi opposer court terme et long terme ? Il faut être pragmatique. Les besoins sont flagrants. En tant que politiques, vous les voyez tous les jours. Ce n’est pas que la France est en retard, la situation est la même dans beaucoup de pays, y compris aux États-Unis. Des technologies existent pour faire un bond en avant. Il faut s’assurer qu’elles sont réversibles, que les données sont protégées. Ce point doit faire l’objet d’approbations par les services compétents. En revanche, pourquoi avoir une vision de long terme qui empêche d’agir pendant des années ? Si nous avions procédé ainsi dans l’aéronautique, nous n’aurions pas eu Eurocopter, qui s’appelle maintenant Airbus Helicopters, que j’ai eu l’immense honneur et plaisir de diriger pendant quatre ans. Nous n’aurions peut-être même pas eu l’aventure nucléaire. Il faut donc être pragmatique, répondre à des besoins qui sont très importants pour l’État français, en ayant la certitude que l’on peut changer de solution.

Dans une entreprise, si j’ai un logiciel Microsoft et que je veux passer à une suite Google, parce que Google a innové, ce n’est pas gratuit. L’entrepreneur le fait parce que c’est son intérêt et qu’il peut le faire. Il faudra cependant qu’il forme ses personnels à la nouvelle suite. Ce sont des coûts marginaux par rapport à ce dont nous parlons.

Ce n’est pas à moi de définir ce qui est à la fois souverain et français ou européen dans la souveraineté numérique, mais j’ai quelques pistes. Avec l’écosystème pour développer les start-up françaises, nous avons un atout fantastique. Ce n’est pas juste du marketing. Nous avons encore la chance d’avoir des ingénieurs de très haut niveau et reconnus comme tels par les Américains et les Britanniques. Beaucoup d’entre eux se lancent dans des start-up. Beaucoup échouent, certains sont sur le point de réussir. Il faut leur offrir un environnement qui ne soit pas seulement financier. J’ai la prétention de penser qu’une solution comme Palantir peut les aider à se développer, y compris à l’international, alors que nous ne sommes pas du tout sur ce créneau.

Le cloud souverain est une bonne chose. Doit-il exclure des solutions américaines ? Non, mais il revient à l’Europe et à personne d’autre de définir des règles. De même, nous avons des compétences de cyber, mais nous n’en sommes pas un acteur. La cybersécurité doit être nationale. On ne confie pas la protection d’un pan aussi important à des acteurs étrangers. Malgré mon côté européen, du fait de mes onze ans à la tête d’Airbus, j’aurais tendance à dire que ce domaine doit être français.

Voilà des thèmes, et il y en a d’autres, dans lesquels la France devrait investir massivement. Le peut-elle partout ? Peut-elle remplacer Palantir ? Peut-être. Peut-elle remplacer Google ? Vraisemblablement pas. Il faut choisir ses combats. En France, nous avons l’intelligence, mais nous n’avons pas tous les moyens. Le Quantique est un excellent exemple. Il n’y a pas de retard à rattraper. Nous avons des atouts. Nous investissons plusieurs milliards d’euros et le projet fonctionnera.

Il ne faut pas se tromper avec ce discours indiquant que la souveraineté correspond au tout français. Cela ne marchera pas, dans le numérique ou d’autres domaines. Prenez cette réussite fantastique qu’est le groupe Safran dans l’aéronautique, que je connais encore mieux que le digital. La réussite de Safran vient d’une association à 50/50 avec General Electric (GE), les vilains qui ont racheté Alstom. Cette association a permis à Safran de devenir leader des moteurs de l’A320 et du Boeing 737 et d’en faire un énorme groupe, si performant dans l’aéronautique. Quand j’étais Airbus et que j’achetais un moteur, je savais qu’il était 50 % américain et 50 % français. En 100 % français, il n’y aurait pas eu de moteur. Il faut donc être pragmatique dans ces domaines, avec les règles que vous avez évoquées.

Vous avez raison, notre développement en Europe a d’abord eu lieu au Royaume-Uni. Il y a environ 600 ingénieurs au Royaume-Uni. Ils développent une grande partie du logiciel Foundry. En France nous en sommes presque à une centaine d’ingénieurs, en Allemagne aussi. Nous avons des équipes dans d’autres pays européens, notamment en Europe du Nord. Sur les 2 500 à 3 000 employés de Palantir, je dirais que 1 000 employés sont européens. Nous sommes donc loin d’un groupe dirigé des États-Unis par les États-Unis. J’ai une très forte autonomie d’action, et j’espère de parole, dans ce groupe sur le périmètre de Palantir France.

Enfin, vous avez totalement raison sur la dimension d’efforts commerciaux. Je n’ai pas de vendeurs, mais j’ai une stratégie commerciale, c’est évident. Nous avons adopté celle-ci, car dans le big data, vous avez des dizaines, voire des centaines d’acteurs, vous avez de grands noms. Dire que Palantir peut aider les clients à faire mieux qu’avec ces acteurs est très difficile. Tout le monde a les mêmes explications : « On intègre les données, on vous les nettoie, on vous les met à disposition, vous en tirez de la valeur », si ce n’est que nous le faisons, rapidement, à grande échelle, sans limites. Notre but est de le démontrer d’abord au client. Que ce soit un gouvernement ou une entreprise, nous cherchons un cas d’usage autour de la donnée qui nous permette de faire la différence. À partir de là, nous commençons à discuter d’un partenariat éventuel.

Nous n’avons pas énormément de clients dans le monde. Nous en avons beaucoup plus que ce qui est cité, car il revient aux clients de divulguer leur relation commerciale avec nous, mais ils sont quelques centaines. Nous n’avons pas vocation à avoir un marché de très grande masse. Nous ne sommes pas Salesforce, qui vend des solutions adaptées, y compris à de petites entreprises. Nous nous adressons plutôt à des entreprises de taille assez importante ou pour des problématiques gouvernementales complexes.

M. Éric Bothorel. Appliquez-vous des traitements qui vous sont confiés par des clients à d’autres jeux de données ? Vous arrive-t-il aussi d’enrichir ces données de données en source ouverte, sur lesquelles vous « tomberiez » et qui n’auraient pas leur place en source ouverte ? Quel est votre comportement dans ce cas ?

M. Fabrice Brégier. Nous l’avons fait en situation de crise, sur le Covid. À ma connaissance, ce sont des données véritablement en source ouverte, elles n’ont pas été pillées de tel ou tel site et mises à disposition. Nous y veillons. Je n’ai cependant pas la capacité de vous dire que cela n’a jamais été fait par inadvertance, mais pour moi, la règle est simple : les données en open data peuvent être disponibles. Elles devraient d’ailleurs l’être afin de permettre à certaines start-up de faire un bond en avant. En revanche, il faut s’assurer qu’il s’agit véritablement de données ouvertes et non piratées.

Par ailleurs, nous vendons un logiciel, d’une grande complexité, avec de nombreux modules mis à disposition de tous nos clients. Nous ne vendons pas d’application spécifique verticale. Nous avons maintenant une bonne connaissance de l’industrie, des problèmes de maîtrise de la supply chain, de qualité, dans l’aviation, l’automobile ou de grandes industries, des problèmes de conformité dans le domaine bancaire ou de maîtrise de la relation totale d’un client. Nous avons de nombreux exemples de cette nature. Nous avons ce savoir-faire, mais nous ne passons pas d’un client à l’autre avec l’étude que nous réalisons pour un client spécifique.

Je rappelle également que la plupart des analyses sont faites par le client lui-même. En tant qu’ancien entrepreneur, je considère qu’une entreprise et un service de l’État doit avoir ses data scientists, ses analystes capables de réaliser eux-mêmes leur propre analyse. Lorsqu’ils doivent traiter un sujet très pointu, ils peuvent faire appel à un sous-traitant, qui peut être Palantir, mais aussi Capgemini, Accenture, Sopra Steria et bien d’autres. Ils connaissent notre plateforme. Ils ont travaillé avec leurs ingénieurs, notamment pour le compte d’Airbus. Ils sont beaucoup plus introduits que nous auprès des entreprises françaises, car ils ont de nombreux clients. Personne n’est obligé de s’appuyer sur nos services.

En outre, ce n’est pas à moi de juger de l’opportunité d’Artemis. Je m’abstiens de commenter la nécessité pour la France de lancer un tel développement. La décision a été prise et il n’y a pas de raison de la mettre en cause, sauf si, après quatre années, on se rendait compte que le projet ne donnait rien et que c’était de l’argent public gaspillé. Ce n’est pas à moi d’en juger. Je pars du principe que cela doit progresser. Néanmoins, attendre qu’Artemis atteigne ses objectifs ambitieux et ne pas apporter de solutions aux militaires et aux opérationnels ne me paraît pas être la bonne option.

Par exemple, nos forces au Mali ont besoin de cartographies précises. Elles sont américaines. Elles viennent d’une société, Esri, qui a pignon sur rue. Faut-il attendre d’avoir une cartographie française pour leur apporter ce soutien ? Les yeux dans le ciel sont quelques drones qui, pour l’instant, sont d’origine américaine, alors qu’il y a un programme de drones européens. Offrons donc les bonnes solutions et basculons sur les solutions nationales si l’État le décide, qu’elles sont matures et efficaces.

M. Olivier Laurelli, cofondateur de Reflets.info. Je pense que nous resterons irréconciliables sur quelques points. Je souhaiterais revenir au tout début de votre présentation. Vous vous êtes clairement posé comme un marchand d’armes numériques en présentant Internet comme un champ de bataille, votre solution comme une solution de lutte contre la pédocriminalité, contre le terrorisme. Elle déborde forcément sur d’autres données, qu’on n’avait pas forcément prévu de vous confier, aujourd’hui à l’occasion d’une crise sanitaire avec des données de santé, demain peut-être d’une autre crise portant sur un autre aspect.

Seriez-vous en mesure d’affirmer que votre solution ne peut pas être backdoorée ? Pouvez-vous donner à vos clients, aux États et aux organisations diverses un accès au code source de vos applications pour qu’elles-mêmes auditent votre code ? La carte algorithmique voudrait que vous confiiez aussi vos « recettes de sorcier » à des clients qui vous confient des données stratégiques.

En outre, vous avez dit que vous ne vendiez qu’à de grandes démocraties. Je ne vais pas rappeler que ce n’est pas une grande démocratie qui a lâché la première bombe atomique. Êtes-vous en mesure de me jurer qu’on ne retrouvera pas dans les un, deux ou trois ans à venir votre solution au Moyen-Orient ou en Afrique ?

M. Fabrice Brégier. Sur votre premier point, vous partez du principe que ce que je dis est vrai. Vous me faites confiance puisque si vous imaginez des systèmes cachés pour voler les données, c’est que vous admettez que nous n’avons pas accès aux données.

M. Olivier Laurelli. Je n’aurais pas besoin d’accéder aux données. J’aurais simplement besoin d’accéder à un fichier de configuration, par exemple XML, avec les clés API en clair stockées par votre logiciel. Je n’ai pas besoin d’accéder directement aux données quand je peux me servir où je veux.

M. Fabrice Brégier. Nos clients, gouvernementaux ou entreprises, sont parmi les plus performants dans ces domaines. Nous ne nous adressons pas à de petites entreprises qui n’ont pas de compétences. Les logiciels de Palantir ont été audités des dizaines, voire des centaines de fois. Aucun client n’a été capable de détecter des failles. Il n’y a jamais rien eu contre la sécurisation de ce logiciel, d’aucune agence de renseignement non américaine, d’aucun grand groupe. Airbus et nous-mêmes avions demandé à l’ANSSI de réaliser des audits. Le retour était quand même plutôt flatteur pour la solution Palantir. L’ANSSI aurait naturellement préféré une solution française, c’est son métier, mais elle n’a rien trouvé à redire du point de vue de la sécurité. C’est même plutôt l’inverse, nous aidons les entreprises à prendre conscience de la valeur de leurs données et à définir elles-mêmes des règles de sécurité beaucoup plus dures que celles qu’elles auraient imaginées, parce que la plateforme le leur permet.

Est-il arrivé qu’un client se plaigne d’une fuite de données ? Je ne le pense pas. Je n’en ai aucun exemple depuis que j’ai rejoint cette société. La réponse vous suffit-elle ? Quand on est sceptique, il en faut plus. Par votre métier, il est normal que vous fassiez contrepoids. Des labellisations, des audits par des tiers indépendants permettront de valider ce que vous dites.

De plus, le problème n’est pas de divulguer les codes sources à des personnes compétentes, mais de ne pas se faire voler ses secrets. Je ne vais pas vous les donner maintenant pour que vous les donniez ensuite à un tiers parce que Palantir ne vaudrait alors plus rien. En revanche, les audits de sécurité peuvent être faits à tout moment par les clients. Ce point est évidemment prévu dans nos contrats.

M. Olivier Laurelli. Je partage en partie avec vous la définition de la souveraineté numérique. Je fais une dichotomie entre la souveraineté numérique d’un côté et le « franchouillardisme » numérique de l’autre. Je ne suis cependant pas d’accord avec vous sur la solution à y apporter. La souveraineté de l’Europe passera quoi qu’il arrive, que ce soit dans l’IA ou dans les solutions logicielles, par du logiciel libre parce que nous ne pourrons pas rattraper le retard qui a été accumulé. Nous avons déjà des briques pour ne pas réinventer la roue.

J’aime bien votre manière de vous présenter en périphérie des GAFAM. Elle vous rend sympathique.

M. Fabrice Brégier. Je ne le fais pas pour cela.

M. Olivier Laurelli. C’est touchant. En revanche, d’un côté plus pragmatique, je retiens que vous êtes un vendeur d’armes numériques, et vous l’avez bien expliqué. Vous êtes conscient de ce que vous vendez. Vous vous êtes d’ailleurs comparé à des groupes qui vendent des armes numériques à des puissances. Je reviens à ma première question : si votre solution est backdoorée, vous ne pouvez pas vous porter garant. Vous n’avez pas donné le code source pour qu’il soit audité. Les résultats ont été trouvés en audit « black box », c’est-à-dire sans le code source. Si malheureusement un jour votre code est backdooré, cette backdoor se retrouvera sur Internet, avec ensuite une fuite de données. J’imagine que vous comprenez les inquiétudes que peuvent avoir certains de vos gros clients, certains des États à vous confier non pas directement des données, mais une solution logicielle permettant d’accéder à ces données.

M. Fabrice Brégier. Très honnêtement, je n’ai senti ces inquiétudes chez aucun des clients. Quand ils auditent le logiciel et qu’ils vérifient ce qu’il permet de faire, la traçabilité est telle qu’ils sont au contraire surpris de sa sécurité. Quand on y ajoute des audits techniques, comme je l’avais fait lorsque j’étais directeur général d’Airbus, les retours proviennent de plusieurs centaines de très grands clients dans le monde. C’est une référence.

Ensuite, ce que vous avez dit est assez vrai, le monde se dirige vers de plus en plus de logiciels ouverts, ce qui ne veut pas dire que des entreprises ne peuvent pas avoir leur propre know-how, que tout doit être sur le net et que l’on fait ce que l’on veut. Il y aura un développement beaucoup plus fort et les États devront d’ailleurs réguler ces initiatives.

Enfin, je ne parle pas d’armes numériques, mais de souveraineté. Ce sont des logiciels qui comportent des garde-fous, dès lors qu’ils sont utilisés par des clients qui les respectent. C’est pour cette raison que Palantir s’est refusé à travailler avec certains États.

M. Olivier Laurelli. Vous travaillez avec la Corée du Sud. Vous avez vu ce qui s’est passé là-bas avec l’équivalent de l’application de TousAntiCovid. Ils ont juré que jamais les données de santé ne seraient utilisées pour autre chose que la lutte anti-Covid. Or, elles ont été exploitées par la police locale dans des enquêtes judiciaires. On constate donc une dérive.

M. Fabrice Brégier. Je vous rejoins : le risque de dérive existe. C’est à la loi coréenne de s’appliquer en Corée du Sud. Je pense d’ailleurs qu’elle est une démocratie qui n’a rien à apprendre de la France. Peut-être que, dans le cas présent, sur lequel Palantir ne travaille pas, la loi a été violée. Il faut des garde-fous et des contrôleurs. Pour moi, c’est cela l’objectif principal de cette souveraineté. Ces plateformes logicielles, ces solutions numériques sont fantastiques, offrent des services que personne d’autre ne peut offrir, mais si les règles de déontologie, d’éthique, de protection des données personnelles ne sont pas respectées, il faut être capable de le vérifier et d’arrêter les dérives.

Par ailleurs, faire référence à la première bombe atomique est peut-être un peu excessif pour dire que les États-Unis ne sont pas une démocratie.

M. Olivier Laurelli. Il n’y a pas de règle. Malheureusement, les États-Unis ne jouent pas souvent avec les mêmes règles du jeu que nous.

M. Fabrice Brégier. Pendant l’administration Trump, il y a eu ces débats sur l’Immigration and Customs Enforcement (ICE) et les méthodes utilisées par l’administration Trump contre l’immigration illégale. En soi, cela n’est pas condamnable, mais la façon dont cela a été déployé l’a été. Nous avons été très clairs sur ce sujet : il revient à la justice américaine et au Parlement américain de définir des règles liées à cette démocratie et à l’application de telles solutions. Une bonne partie des salariés de Palantir n’étaient pas satisfaits de l’utilisation qui avait été faite. Il y a eu des débats en interne, auxquels j’ai pu assister. Chacun avait la possibilité de s’exprimer.

Nous assumons notre position. Nous travaillons pour ces gouvernements et les alliés ou les démocraties. C’est aux États, aux politiques, aux juges de ces gouvernements de définir les règles. Cette responsabilité n’incombe ni aux GAFA, ni à Palantir.

M. Olivier Laurelli. J’aimerais vous entendre dire que vous assumez que vous vendez des armes.

M. Fabrice Brégier. J’assume que nous vendons des solutions logicielles qui permettent à un État de devenir souverain ou d’acquérir une certaine supériorité. Nous ne vendons pas des armes au sens missiles, avions de combat ou autre chose létale. En revanche, protéger des forces, faire en sorte que des menaces soient identifiées pour être détruites par d’autres acteurs, c’est du domaine d’un État souverain. Les solutions technologiques de Palantir le permettent.

M. Philippe Latombe, rapporteur. L’inquiétude de beaucoup de monde provient aussi du fait que des groupes, notamment américains, ainsi que l’État américain lui-même, se soient parfois affranchis des règles. Je pense aux révélations d’Edward Snowden sur des écoutes. Il existe un réflexe d’inquiétude. Ce n’est pas méchant, mais lorsqu’on sait que Palantir est à l’origine financée par des fonds provenant des services américains, ces questions sous-jacentes se posent forcément.

De manière plus technique, comment étalonnez-vous le succès de votre logiciel ? Vous nous dites que vous le vendez en licence à un gouvernement, à une société, et que vous n’avez pas accès aux données. Vous ne savez donc pas comment il apporte des résultats dans la pratique à l’entreprise ou à l’État qui vous l’a commandé. Comment l’étalonnez-vous, sur quelle base ? Avez-vous des retours d’expérience de vos clients ? Comment vérifiez-vous qu’ils sont le fruit des données qui y ont été introduites au départ ?

M. Fabrice Brégier. Nous avons ces retours. Des ingénieurs de Palantir sont en soutien sur des opérations ponctuelles, à la demande du client. Généralement, elles ont lieu au démarrage afin que le client prenne la main sur la plateforme.

Nous avons les retours de nos clients du monde de l’entreprise, parce qu’ils sont beaucoup plus ouverts. Nous ne parlons pas du tout de données personnelles. Il s’agit de données de capteurs d’avion, de problèmes de qualité en service des automobiles, d’optimisation de la maîtrise des sous-traitants, de la résolution de problèmes techniques. Vous avez des milliers de logiciels américains qui s’en occupent. Palantir n’a pas de raison particulière d’être suspectée par rapport aux autres.

Dans le domaine gouvernemental, nous n’avons pas de retour sur le travail d’enquête, qui est du strict ressort des analystes des services de renseignement. Ils appliquent leurs propres règles pour ceux qui ont à en connaître. En revanche, quand on me demande d’aider à mettre en place un dispositif particulier lors d’un événement international qui se tient en France, nous apportons notre contribution technique, mais le travail de ces agences est réalisé par leurs personnels.

Dans la très grande majorité, le travail d’analyse, le développement des algorithmes est réalisé par les clients eux-mêmes ou leurs sous-traitants. Nous ne sommes que 2 500, voire légèrement plus, à l’échelle mondiale, pour plusieurs centaines de clients. Nous ne pouvons pas nous permettre d’avoir des armées d’ingénieurs, dont le but serait de savoir ce qui se passe chez le client. Nous sommes là pour nous assurer qu’il comprend la valeur qu’il peut en tirer, qu’il sait parfaitement utiliser l’outil et qu’il prend progressivement la main avec une conscience de ce que le digital et la maîtrise de ses données lui permettent de réaliser.

Lorsqu’il s’est agi de connecter l’ensemble des compagnies aériennes clientes d’Airbus, ce qui représente un travail de titan, Palantir a eu pour mission de démarcher les compagnies aériennes et de réaliser la connexion à la plateforme d’Airbus avec leur accord. Il s’agissait d’une tâche spécifique.

M. Philippe Latombe, rapporteur. Je n’ai pas eu de réponse sur le FISA. Si vous avez, parmi vos 2 500 salariés, un juriste capable de contribuer par écrit sur ce plan, nous serions preneurs. Ce n’est pas seulement le cloud qui nous intéresse, c’est la partie de l’extraterritorialité, du droit, qui nous pose de véritables questions.

M. Fabrice Brégier. Nous apporterons la réponse en complément de mes propos. Ils étaient imparfaits sur ce point, j’en suis conscient.

M. Philippe Latombe, rapporteur. Le sujet pourra faire l’objet d’une question supplémentaire aux questions écrites que nous vous avons adressées.

M. Fabrice Brégier. Très bien.

M. Olivier Tesquet. Nous savons que les ingénieurs de Palantir sortent des meilleures écoles. Ils sont des Polytechniciens, des X-Télécoms. L’entreprise se gargarise d’ailleurs à juste titre d’employer des salariés de très haut niveau. Ma crainte n’est pas tant celle d’un « siphonnage » que celle de la délégation de pans entiers de ce que j’estime être un pouvoir régalien, que ce soit des fonctions de police, des politiques de santé, à ce qui reste des boîtes noires.

Les audits sont évidemment imparfaits puisque Palantir est une société qui possède, selon ma comptabilité personnelle, un peu plus de 1 000 brevets. Ils sont autant d’obstacles qui se situent entre nous et une transparence sur la manière dont fonctionne le logiciel. J’ai l’impression que nous sommes face à une situation dans laquelle nous nous habituerions à manger un plat étoilé sans en connaître la recette. Comment pourrions-nous nous prémunir contre ce risque ? Je cite de nouveau l’exemple du NYPD, la police de New York, qui s’était vu opposer la propriété intellectuelle de Palantir au moment d’accéder à l’analyse des données qu’elle avait injectées dans le logiciel. Cette situation engendre des questions d’opacité.

De mon point de vue, le débat porte donc moins sur l’aspect français/pas français, et je n’ai pas de chapelle préférentielle, que sur ce qui est traçable et ce qui est opaque.

M. Fabrice Brégier. Je suis conscient que ce n’est pas en une heure et demie de débat que je vais vous convaincre que nos solutions sont transparentes, traçables, auditables. Cela doit être fait par des experts indépendants de Palantir. Je vous ai tout de même fourni quelques pistes qui montrent que nous sommes conscients des limites de l’usage du numérique et des risques, que nous avons intégré des garde-fous en interne, dans le design. Depuis douze ans, nous avons une équipe, Privacy and Civil Liberties, sur les libertés civiles et privées. Elle est constituée d’ingénieurs, de philosophes, de juristes qui guident les ingénieurs dans le développement des plateformes pour que celles-ci soient robustes à des usages malveillants.

Je vous rappelle également que les données de santé, notamment les données personnelles, n’arrivent pas à la connaissance de Palantir. L’inverse serait inadmissible. Vous pouvez vérifier auprès de vos collègues britanniques qui ont dû regarder le contrat britannique. Nous n’en avons ni l’intérêt ni l’usage. La force d’une société comme Palantir est que l’on peut lui faire confiance. Dès lors qu’il y aurait, non pas des suspicions, mais une réalité de fuite de données, cela tuerait purement et simplement notre modèle de business.

M. Olivier Tesquet. On ne peut se satisfaire de la présence du comité d’éthique. Je précise tout de même que les chercheurs sont rémunérés pour y siéger. Je tiens cette information de l’une des personnes que j’avais interviewées lors de mon enquête sur Palantir, en 2017, à une époque où l’entreprise était encore un peu « sous le radar ».

S’agissant des données de santé, je n’ai pas parlé de « siphonnage ». Je n’ai pas eu besoin de cette audition pour savoir qu’effectivement, vous n’aviez pas accès aux données en tant que telles. En revanche, des questions se posent. Le partenariat signé avec le National Health Service (NHS) au Royaume-Uni fait l’objet d’une plainte d’ONG, qui veulent connaître les conditions d’attribution de ce marché. La question de la transparence et de l’opacité est quand même un point qui mérite d’être soulevé.

M. Fabrice Brégier. C’est vrai, mais elle appartient au client et non à ses sous-traitants.

M. Olivier Laurelli. Je reviens sur ma deuxième question : pouvez-vous nous promettre que d’ici un an, deux ans ou trois ans, on ne retrouvera pas vos outils au Moyen-Orient ?

M. Fabrice Brégier. Ce point n’est pas dans ma zone de responsabilité. Je pense qu’il y a eu quelques contrats avec des pays de la catégorie qui a été rappelée, les États-Unis et ses alliés, mais pas avec tous ces pays, certainement pas.

Je vous remercie d’avoir supporté mon élan parfois fougueux, car j’estime avoir eu une carrière industrielle au service de la France et de l’Europe et ne pas renier cette volonté d’aller de l’avant, d’aider à développer l’activité économique en France et d’aider mon pays à mener ses actions de souveraineté. Voilà ce qui m’anime. Depuis que j’ai rejoint Palantir, je n’ai aucun doute, aucune suspicion sur le fait que je suis soutenu dans cette démarche.


—  1  —

Audition, ouverte à la presse, de M. Éric Baissus, président-directeur général de Kalray
(30 mars 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Nous auditionnons M. Éric Baissus, président-directeur général de Kalray, entreprise française et européenne spécialisée dans la production de microprocesseurs. Elle est un spin-off créé en 2008 au sein du Commissariat à l’énergie Atomique et aux énergies renouvelables (CEA). Nous avons souhaité répondre favorablement à votre demande d’audition au regard de l’origine de votre entreprise qui démontre la capacité de la France à soutenir la création technologique et son positionnement stratégique sur un certain nombre de marchés critiques en développement. Nous sommes très intéressés par votre vision de ce que pourrait être une forme de souveraineté numérique et technologique française et européenne à court ou moyen terme.

M. Philippe Latombe, rapporteur. En guise d’introduction, je souhaiterais évoquer avec vous trois sujets. Nous aimerions d’abord savoir comment vous définissez la notion de souveraineté numérique française et européenne. Ce concept revêt une forte dimension technologique, qui est aussi au cœur de votre activité puisque vous produisez des microprocesseurs intelligents.

Nous aimerions donc mieux connaître votre secteur d’activité. Quel est votre niveau de dépendance vis-à-vis des pays non-européens, en termes de composants par exemple, et comment les acteurs français et européens se positionnent sur votre marché par rapport à leurs concurrents internationaux. Nous sommes conscients que la maîtrise de la puissance de calcul est un enjeu décisif dans un nombre important de domaines comme l’industrie 4.0 ou le quantique.

Je souhaiterais également que vous puissiez nous présenter votre entreprise, en insistant sur son parcours original, qui dit quelque chose de notre système de recherche et développement technologique français. Le CEA y a joué un rôle important. Nous aimerions savoir comment vous jugez, en France, le niveau de soutien des pouvoirs publics à la création et au développement d’entreprises technologiques. Nous aimerions également vous entendre sur les difficultés que vous avez pu rencontrer, par exemple pour vous financer, lors de certaines phases de votre croissance. Vous êtes en effet bien placé pour partager avec nous l’existence d’éventuels obstacles à lever sur ce point.

Enfin, je souhaiterais aborder la question de la formation aux compétences numériques, notamment dans votre secteur d’activité. Comment jugez-vous le niveau des formations existantes ? Identifiez-vous des manques ? Avez-vous des difficultés à recruter des ingénieurs français pour réaliser, par exemple, les tâches les plus techniques ? Je soulève ces différents points qui renvoient aussi à la nécessaire féminisation des métiers du numérique, le sujet étant régulièrement revenu lors de nos précédentes auditions.

M. Éric Baissus, président-directeur général de Kalray. Je tiens à vous remercier de me donner cette opportunité de partager notre expérience. Je vous propose, après avoir présenté notre société, de partager deux éléments importants. Il s’agit d’un nouveau marché au cœur de la problématique de la souveraineté numérique et de l’accès à des composants permettant d’avoir de très grandes puissances de calcul. Cette industrie est au cœur de nos industries de demain, au cœur de pans de l’industrie européenne très importants. Ce marché est extrêmement stratégique et fait l’objet d’enjeux géopolitiques monstrueux, en particulier entre les États-Unis et la Chine.

Nous sommes une spin-off, c’est-à-dire un essaimage du CEA. Nous sommes une deep tech, qui est issue d’un laboratoire, qui a une avance sur la concurrence, mais qui doit maintenant devenir leader mondial. Je vais partager notre parcours, pour pouvoir vous expliquer nos réussites et nos challenges de demain.

J’aimerais vous expliquer qui nous sommes et, personnellement, comment je me suis retrouvé à la tête de Kalray. Je suis ingénieur de formation. J’ai commencé ma carrière dans les années 90 chez Texas Instrument, une société américaine, dans un grand centre de développement basé dans le sud de la France. C’est dans ce contexte que j’ai appris à développer des processeurs. J’ai passé dix ans à apprendre ce métier.

Ensuite, j’ai créé ma propre société. Là, j’ai commencé à apprendre un nouveau métier, qui est le monde de l’entrepreneuriat. J’ai cédé cette société à Alcatel Lucent. Suite à ce rachat, j’ai passé quelques années dans la Silicon Valley. Quand je suis revenu en France, en 2014, j’ai eu l’opportunité de rencontrer Kalray. Kalray a été créée en 2008 par des personnes qui venaient du CEA et de STMicroelectronics. Kalray était en redressement judiciaire. Des actionnaires qui me connaissaient m’ont demandé de transformer cette société en une société qui puisse avoir son mot à dire sur le marché. C’est ce à quoi nous nous attelons avec toute l’équipe, depuis six ans.

Aujourd’hui, Kalray a un positionnement très intéressant sur un marché qui a de l’avenir. Nous avons maintenant une technologie mature, le temps est venu d’appuyer sur l’accélérateur pour la déployer commercialement, tout en continuant à investir en R&D.

Nous sommes une société qui développe un nouveau type de processeur, qui a vocation à « adresser » le marché des systèmes intelligents ou de l’intelligence artificielle embarquée. Pourquoi ce marché est-il aussi important ?

Je vais prendre l’exemple de la voiture autonome. Une voiture autonome est une voiture bardée de capteurs qui filment la route et qui envoient un flot d’informations. Il faut extraire de ce flot de données des informations pertinentes (un panneau de signalisation, un feu rouge, un piéton qui traverse…). Pour faire cela, nous avons besoin d’un nouveau type de processeurs, les processeurs intelligents, qui analysent en temps réel ce flot d’informations, souvent en utilisant des algorithmes d’Intelligence artificielle, pour pouvoir diriger la voiture.

Il s’agit d’un nouveau marché, qui correspond à un besoin de nos sociétés modernes, qui génèrent de plus en plus de données. Certains rapports montrent que ce flot de données a été multiplié par dix en deux ans. Dans beaucoup de cas, ce flot de données n’a de valeur que si on l’analyse tout de suite. L’exemple de la voiture est pertinent.

Cette problématique est valable pour un très grand nombre d’industries, qui sont importantes pour la France et pour l’Europe : le marché automobile, le marché des data centers, le marché des télécoms, de la 5 G, le marché de l’aérospatial. L’un de nos actionnaires est Safran, avec qui nous travaillons à implanter nos processeurs dans les moteurs d’avion de demain pour analyser à la volée ce qui se passe dans le moteur et améliorer de 30 % à 50 % la consommation du moteur.

Un autre pan de l’industrie est aussi très intéressant : l’industrie 4.0. Il y a une volonté de rapatrier dans notre pays des usines, mais cela nécessite des usines qui sont beaucoup plus automatisées. Pour cela, il est nécessaire d’avoir des technologies qui vont analyser à la volée les chaînes de production pour prendre des décisions.

Enfin, un marché est évident : le marché de la défense. La défense a besoin de technologies comme celle-ci pour pouvoir fournir les solutions les plus performantes possible.

Aujourd’hui, Kalray est une société qui emploie à peu près une centaine de personnes. Nous sommes basés à Grenoble. Nous avons développé un type de processeur breveté qui amène des capacités de calcul et qui permet d’être au cœur de ces nouvelles technologies. Nous sommes le seul acteur aussi avancé en France et en Europe et nous nous confrontons à de gros mastodontes, qui sont essentiellement américains, israéliens et, de plus en plus, chinois.

Comment le « Petit Poucet » Kalray peut-il avoir la moindre chance par rapport à ces mastodontes ? Si vous regardez l’histoire du monde des processeurs, vous constatez qu’à chaque vague, à chaque nouveau besoin, émergent de nouveaux acteurs. La première vague est celle des processeurs pour les ordinateurs et les serveurs. Intel, le mastodonte américain, détient aujourd’hui 95 % du marché mondial.

La deuxième vague a été la vague des processeurs pour téléphones portables. L’Europe était très en avance dans les années 90 et la plupart des centres de développement des puces pour téléphone portable étaient en Europe. Il se trouve que, petit à petit, l’Europe a abandonné ce marché parce qu’il était très orienté consommateurs, end-users, BtoC. Petit à petit, les fleurons européens ont arrêté d’investir dans ce marché, estimant qu’ils ne pouvaient pas y conserver un rôle de leaders. Les leaders de ce marché des téléphones portables sont de nouveaux acteurs. Ils étaient de nouveaux acteurs dans les années 90 et sont devenus aujourd’hui des poids lourds : Qualcomm, Samsung, Apple.

Dans ce nouveau marché de l’Intelligence artificielle embarquée, du edge computing, les cartes sont rebattues, ce qui constitue une opportunité pour un acteur comme Kalray et, plus largement, pour la France et pour l’Europe de prendre le leadership. Pourquoi ? Parce que ce marché nécessite des technologies que l’Europe a aujourd’hui, qui sont proches de l’embarqué et qui sont poussées par des donneurs d’ordres français et européen.

Kalray est une deep tech, comme je vous l’ai dit. En dix ans, nous avons investi 100 millions d’euros pour créer notre produit. Nous sommes encore au balbutiement commercial puisque notre chiffre d’affaires est autour d’un million d’euros. Pourquoi seulement un million d’euros ? Parce que nous vendons nos microprocesseurs à des acteurs qui sont en train de les tester et de développer leurs propres produits. Pour cela, ils n’ont pas besoin d’acheter des milliers de puces. En revanche, une fois que ces clients se déploieront sur le marché, ils développeront leurs produits avec nos processeurs, ce qui générera de plus en plus de chiffre d’affaires. Aujourd’hui, nous avons essentiellement deux marchés : le marché des data centers et le marché de l’embarqué (aérospatiale, automobile). Nous avons également comme actionnaire l’alliance Renault-Nissan-Mitsubishi.

Kalray est au cœur de cette problématique de souveraineté, et ce, pour plusieurs raisons. La souveraineté numérique est essentiellement la souveraineté technologique. Être souverain, cela veut dire être libre d’accéder à cette technologie. Nous nous en apercevons tous les jours quand nous parlons à nos clients. L’accès libre à ces technologies est crucial pour déployer leurs produits. Les acteurs de la défense sont soucieux d’avoir la liberté d’accès à ces technologies.

Deuxièmement, la souveraineté numérique, c’est avoir l’accès à la compétence. On parle de technologies qui sont complexes. Il est important, pour avoir cette souveraineté numérique, de comprendre ces technologies, de les maîtriser, d’avoir de l’expertise locale.

Enfin, la souveraineté numérique, c’est contrôler ce que font ces technologies. Si l’on ne sait pas ce qui se passe dedans, cela pose un vrai problème de souveraineté.

Chez Kalray, nous sommes au cœur de ces problématiques, puisque nous sommes l’un des rares acteurs aujourd’hui à fournir ces puces de calcul intensif. Si Safran, Renault, le fonds Definvest, créé par la direction générale de l’armement (DGA), investissent dans Kalray, c’est pour s’assurer que ces technologies seront accessibles dans les cinq, dix, quinze ans qui viennent.

Dans notre approche, nous poussons un modèle ouvert (open source, open hardware), afin de créer un écosystème autour de nous et de permettre à nos clients d’avoir une garantie d’accès à ces technologies, quel que soit notre futur.

Enfin, nous avons un rôle en vue de préserver la compétence. Nous sommes l’un des rares acteurs à développer des puces de calcul intensif. Nous formons notre personnel. Nous avons créé une compétence que nous essayons d’élargir petit à petit, pour l’utiliser pour nos propres besoins et afin qu’elle soit disponible plus largement.

Sur le marché de l’intelligence embarquée, l’acteur le plus important est Nvidia, une société américaine. Quand vous utilisez une technologie de Nvidia, vous utilisez un langage propriétaire, qui a été développé par Nvidia : CUDA. Par conséquent, tous les acteurs qui utilisent les technologies de Nvidia développent un historique en utilisant un langage propriétaire. Si demain, ils passent à un autre fournisseur que Nvidia, ils devront tout redévelopper. Nvidia a une stratégie de « locker », en imposant aux différents acteurs de l’industrie d’utiliser un langage propriétaire. Je pense que, dans ce contexte de souveraineté numérique, il est très important d’aider nos industriels à disposer d’un accès ouvert à ces technologies, en particulier en sponsorisant des technologies ouvertes.

Kalray est une société fabless, qui n’a pas d’usine. Aujourd’hui, aucune usine en Europe n’est capable de fabriquer nos processeurs. Seuls Intel, TSMC (Taiwan Semiconductor Manufacturing Compagny) et Samsung en sont capables. Nous travaillons avec TSMC. Nous dépendons d’usines de fabrication qui ne sont pas sur le sol européen.

Il est très difficile de financer une société de semi-conducteurs comme Kalray. Jusqu’à il y a un ou deux ans, il était quasiment impossible de financer une telle société en Europe, car ce type de société était considéré comme trop risqué. Heureusement, il existe une vraie prise de conscience de l’importance de cette industrie. Dans notre cas, nous avons levé autour de 100 millions d’euros. Nous investissons 15 millions d’euros par an. Nous avons encore un chiffre d’affaires relativement faible. Ce ne sont pas des sociétés faciles pour des investisseurs parce qu’elles demandent un investissement à long terme, avec des risques associés.

Je tiens à signaler l’effort qui est fait par la Bpifrance pour que les deep techs françaises puissent devenir les champions de demain.

Sur la formation et sur la compétence, aujourd’hui, nous sommes à la croisée des chemins. Il existe encore de la compétence en France dans les semi-conducteurs parce qu’il y en avait il y a une vingtaine d’années. En revanche, je pense que, si l’on n’investit pas massivement aujourd’hui dans ce secteur, petit à petit, cette expertise va partir. Il est donc très important d’investir, de faire que l’on ait des acteurs qui soient des leaders pour créer aussi des offres d’emplois et enclencher un cercle vertueux offre-demande.

M. Philippe Latombe, rapporteur. Vous avez beaucoup parlé des Américains, de Nvidia notamment, et de leur mode de fonctionnement avec un langage propriétaire qui permet de « locker » les industriels qui utilisent leurs technologies. Qu’en est-il des Chinois aujourd’hui ? Leur vendez-vous des puces ? On a beaucoup dit que la Chine copiait, puis développait. Où en sont-ils dans la R&D pour ces technologies ? Le marché automobile ne sera pas le seul à être intéressé par ces puissances de calcul, notamment en Intelligence artificielle embarquée. L’industrie de l’armement en a besoin, avec les drones, les avions, etc. L’industrie de défense chinoise est en train de se développer à grande vitesse.

Deuxième question, puisque nous parlons de puissance militaire, où en sont les Russes ? Ont-ils des compétences dans ce domaine ?

Quel est le risque pour vous d’être copié ?

M. Éric Baissus. Nous connaissons très bien le marché chinois, mais beaucoup moins le marché russe. Cela veut-il dire que les Russes sont moins actifs ? En tout cas, nous ne travaillons pas avec eux.

Aujourd’hui, les militaires ont compris qu’ils ont besoin de s’appuyer sur des acteurs civils pour récupérer ces technologies, compte tenu des investissements nécessaires. C’est la raison pour laquelle la DGA investit dans Kalray.

Dans cette stratégie, la Chine investit massivement pour créer ses leaders nationaux dans le monde du semi-conducteur. En gros, elle investit cinquante à cent fois plus que ce que nous faisons en Europe. Elle investit dans tous les domaines : la fabrication des puces, le design, etc. Les Chinois ont une stratégie de création de leaders nationaux en réservant le marché national à leurs leaders.

On se trompe quand on croit que nous sommes en avance. La Chine a quasiment rattrapé son retard. Bien sûr, il faut faire attention à ne pas être copié, mais la problématique n’est plus là : il faut faire en sorte que, dans cinq à dix ans, il y ait des champions européens. Pour cela, il faut que l’on ait des champions civils parce que seuls les marchés civils permettront de financer les investissements associés.

M. Philippe Latombe, rapporteur. Aujourd’hui, les Américains fonctionnent avec des licences pour la plupart. Les Chinois, eux, n’ont pas de licence. Sont-ils capables d’inonder le marché de leurs produits, ce qui rendrait la solution intermédiaire (la vôtre) difficilement commercialisable ?

M. Éric Baissus. La Chine, quand elle dépend de licences étrangères, développe sa propre technologie. La chance de la Chine réside dans la taille de son marché. Elle accepte que ses leaders nationaux ne soient pas aussi avancés que ce qui existe à l’étranger, en misant sur le fait que, petit à petit, ils rattraperont leur retard.

M. Philippe Latombe, rapporteur. Où les puces sont-elles fabriquées ? Faut-il recréer une industrie de la fonderie en Europe ou s’appuyer sur des pays tiers ? Existe-t-il un risque de voir les secrets industriels copiés en les confiant à des fondeurs non-européens ?

M. Éric Baissus. Aujourd’hui, nous utilisons des usines basées à Taiwan, chez TSMC, le plus gros fabricant au monde. Nous envoyons aux usines un fichier qui représente la position des transistors dans la puce. La puce compte 9 milliards de transistors. Les risques d’être copiés par ce biais sont donc très faibles.

Il existe quelques usines en France et en Europe, mais pour des process de gravure qui sont très larges. Ces usines peuvent fabriquer des petits composants, des composants de puissance, mais ne sont pas capables de fabriquer des processeurs comme les nôtres, avec de fortes capacités de calcul. Aujourd’hui, nous sommes obligés d’utiliser des usines basées à Taiwan. L’autre acteur qui croît énormément est aujourd’hui Samsung en Corée. Il n’existe pas d’acteur en Europe.

Quelles sont nos recommandations ? Pourquoi les acteurs aujourd’hui sont-ils Intel et TSMC ? C’est essentiellement parce qu’ils ont un marché. Comme leurs usines tournent, ils ont les moyens de les financer. TSMC va investir une dizaine de milliards cette année.

Ma recommandation est de travailler sur ces deux sujets : rapatrier des usines en Europe et faire en sorte qu’un écosystème utilise ces usines.

Si je prends l’exemple des vaccins, qui est d’actualité, il faut avoir des usines qui sont capables de les produire et des sociétés qui sont capables de les développer.

Chez Kalray, nous sommes ceux qui vont développer les puces et utiliser les usines. Il faut supporter cet écosystème si l’on veut avoir un vrai rapatriement, une vraie souveraineté.

Concernant les usines, deux approches sont possibles :

– soit faire un leader européen, ce qui nécessiterait un très fort investissement ;

– soit inciter des fabricants actuels (Intel, TSMC, Samsung) à mettre en place des chaînes de production en Europe. Cela nous permettrait de valoriser leur expertise, de créer un pôle de compétences, de garantir des acteurs à la pointe du progrès.

M. Philippe Latombe, rapporteur. Vous dites aujourd’hui que Kalray est une partie d’une solution technologique future. Comment cet écosystème travaillerait-il ensemble ? Est-ce que vous construisez la puce dans votre coin et l’industriel s’en sert et s’adapte autour de votre puce ? Ou est-ce vous qui avez la connaissance de ce que les capteurs récupèrent comme informations, nécessitent comme calculs pour pouvoir ensuite l’envoyer vers le « cerveau » de la voiture qui prend la décision ? Le législateur ou l’État a-t-il un rôle de structuration à jouer ?

M. Éric Baissus. Quand on développe un processeur, il faut qu’il soit un minimum générique, pour pouvoir être programmé. Cependant, ce composant matériel doit être adapté à un marché. Nous travaillons dans notre coin à rendre notre processeur générique et nous travaillons aussi avec les donneurs d’ordres (Safran, Renault…), pour être sûrs que notre offre est pertinente.

Il est important de travailler main dans la main avec le donneur d’ordres. Je pense que les projets collaboratifs sont très importants pour que tout l’écosystème travaille ensemble.

M. Philippe Latombe, rapporteur. Y a-t-il des standards dans votre métier ? Participez-vous à leur élaboration ? Vous travaillez avec Renault, mais Mercedes, Audi, Jeep auront-ils les mêmes standards ?

M. Éric Baissus. Nos produits sont assez génériques pour être utilisés par plusieurs acteurs du marché. Ensuite, chaque client les programme différemment. D’ailleurs, la plupart des clients veulent profiter de l’effet de volume pour avoir de meilleurs prix.

Ensuite, il est important d’avoir des standards pour permettre à nos clients de ne pas dépendre uniquement de nous. Nous poussons notre technologie pour en faire un standard ouvert. Si nous voulons devenir un leader demain, il faut que notre technologie soit déployée le plus massivement possible et donc en faire un standard.

M. Philippe Latombe, rapporteur. Je souhaiterais aborder la partie financement. Vous avez dit que la Bpifrance vous a soutenus. Je voudrais revenir aux difficultés que Kalray a connues dans sa vie d’entreprise. Comment ces difficultés sont-elles perçues par l’écosystème, par les acteurs publics et privés ? Aux États-Unis, on dit qu’il faut dix échecs pour une réussite. Est-ce valable aussi en France et en Europe ?

M. Éric Baissus. C’est le jour et la nuit entre être un investisseur aujourd’hui et il y a vingt ans. Les progrès sont énormes ! Aujourd’hui, on est plus tourné vers l’innovation, l’écosystème est bienveillant pour permettre à des start-up de se développer. En termes de culture, le changement est réel. Il y a vingt ans, le monde des laboratoires et le monde de l’entrepreneuriat se haïssaient. Aujourd’hui, non. Le CEA invite les entrepreneurs à venir voir les technologies qui sont développées pour lui et qui pourraient servir à créer une société. Il faut continuer à supporter cette démarche, car on voit que l’innovation est issue du monde des start-up, puis doit être transformée en leader mondial.

En termes de financement, il est inutile de vous cacher que la vie de Kalray a été très difficile. Pendant quatre à cinq ans, je disais à mes collaborateurs que je n’étais pas certain de pouvoir payer leurs salaires le mois suivant. Nous avons levé 100 millions d’euros, ce qui est énorme par rapport à notre parcours. La plupart de nos concurrents ont levé 400 à 500 millions d’euros. Nous avons eu la chance de faire une très belle introduction en bourse, puisque nous avons levé 50 millions d’euros. Pourquoi est-il si difficile d’avoir des financements privés ou publics dans le marché des semi-conducteurs ? Parce que l’Europe considérait qu’elle n’avait aucune chance de réussir sur ce marché et l’avait abandonné. Aujourd’hui, il existe une prise de conscience et il existe des aides et des supports en France et en Europe. Je pense que ces soutiens sont nécessaires pour créer dans notre industrie des champions nationaux et européens.

M. Philippe Latombe, rapporteur. Aujourd’hui, pensez-vous que l’intégralité des partenaires financiers arrivent à s’aligner correctement ? Si Bpifrance apporte son soutien, les partenaires financiers suivent-ils ?

M. Éric Baissus. Je pense que Bpifrance effectue un travail remarquable. Ensuite, l’investisseur privé est naturellement moins intéressé par les investissements stratégiques, car il veut avant tout un retour sur investissement, avec le moins de risques. Comment peut-on abonder ou favoriser l’investissement privé ? Je pense qu’il ne faut pas que l’investissement soit uniquement public, parce que le public seul a du mal à repérer les bons entrepreneurs, les sociétés qui ont la capacité de devenir des champions. En tout cas, le lien entre investissement privé et investissement public est très important. De grands progrès ont été réalisés. Il existe certainement des mécanismes d’abondement pour favoriser les investissements privés dans des sociétés de la deep tech qui sont des sociétés plus difficiles à financer, avec des retours sur investissement plus longs.

M. Philippe Latombe, rapporteur. Vous êtes un spin-off. Est-ce le bon modèle ? Est-ce comme cela que l’on va créer les entreprises de demain ? Comment faire pour arriver à en créer plus, selon vous ?

M. Éric Baissus. Les spin-off sont un réservoir formidable de technologies. Il s’agit pour moi d’un mode de déploiement assez intéressant. Notre pays investit, l’Europe investit énormément dans les laboratoires. Pour valoriser toutes ces technologies, il faut les commercialiser et faire des champions nationaux et européens. Je pense donc que le modèle de spin-off est très intéressant. Il a beaucoup évolué, mais il doit encore être amélioré.

Aujourd’hui, en France, on croit encore que vous pouvez créer une société, quand vous avez une technologie. J’ai tendance à dire que, quand vous avez une technologie, vous n’avez fait que 20 % du travail, vous devez encore déployer un effort considérable pour transformer une technologie en une société commerciale pérenne, leader de son marché. L’effort à fournir est largement sous-estimé. D’ailleurs, beaucoup de financements aujourd’hui sont plus liés à de la technologie (même si les mentalités sont en train d’évoluer) qu’au positionnement produit, à la mise au point d’une offre mature, à l’accès au marché.

Vous mentionnez le rôle de l’État. J’ai senti dans les plans de relance un changement culturel : on insiste de plus en plus sur les débouchés, le travail avec les donneurs d’ordres et moins sur la rupture technologique. Jusqu’à présent, on demandait de montrer en quoi une technologie est différente. C’est bien d’avoir une technologie différente, mais la différence en soi n’a pas de valeur. Il faut avoir une différenciation sur le marché.

C’est pour moi très important. Spin-off, oui, mais avec un environnement qui va favoriser la transformation d’une technologie en un vrai acteur commercialement viable.

M. Philippe Latombe, rapporteur. Pour vous, ce n’est pas suffisamment fait. Est-ce lié à la formation ? Comment mixer les deux mondes, financier et technologique ?

M. Éric Baissus. Une société comme Kalray est la conjonction d’une compréhension technique et d’une compréhension business.

Nous avons un retard culturel, car la France a toujours valorisé les compétences technologiques par rapport aux compétences marketing. Cela dit, cette culture est en train de changer. Les écoles d’ingénieurs proposent de plus en plus de formations à la création de start-up et, inversement, les écoles de commerce sont de plus en plus orientées vers la high tech. Je pense qu’un rapprochement de ces deux mondes est crucial. Il est important que ces deux mondes se parlent et travaillent ensemble.

M Philippe Latombe, rapporteur. L’Europe prend-elle le bon chemin aujourd’hui ? Sentez-vous que l’Europe a décidé de prendre son destin numérique en main ? Commence-t-on à reparler de l’Europe comme étant un futur grand compétiteur, dans votre domaine et au-delà, dans le monde numérique ?

M. Éric Baissus. Aujourd’hui, il existe une prise de conscience, mais elle est récente, elle date d’il y a un an. La crise du Covid a accéléré cette prise de conscience, au niveau de la France et de l’Europe. Comment est-ce perçu par l’international ? Comme des mots. Tant qu’un champion national ne remporte pas de marché, ce ne sont que des mots.

Comment transformer ces mots en actions ? Je suis confiant. En tout cas, je suis très positif. Il faut encore travailler pour transformer ces mots et cette énergie en action. Nous, Kalray, proposons notre collaboration pour constituer un champion national, voire mondial. Aujourd’hui, nous en sommes loin.

M. Philippe Latombe, rapporteur. Y a-t-il des points que nous n’avons pas encore évoqués et qui vous semblent importants ?

M. Éric Baissus. Si je dois résumer les points importants, il y a un nouveau marché, qui sera extrêmement stratégique dans un contexte de souveraineté numérique. Ce nouveau marché est au cœur de nos industries traditionnelles. Sur ce marché B to B, l’Europe a ses chances. Je pense que nous n’avons pas le choix. Si nous voulons notre souveraineté numérique, nous avons besoin d’être sur ce marché de l’Intelligence artificielle embarquée et du edge computing. Nous le pouvons. Il faudra transformer les mots en actions. De nombreuses actions sont en cours. Je suis donc très positif et confiant. Nous sommes très excités de voir comment nous pouvons faire de l’Europe un leader sur ce marché.


—  1  —

Audition, ouverte à la presse, de M. David Ofer, président de la Fédération française de la Cybersécurité
(30 mars 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Nous recevons M. David Ofer, président de la Fédération française de la Cybersécurité, association ayant vocation à rassembler les professionnels de la cybersécurité, avec l’objectif de contribuer à la structuration de cette filière. Organisés en plusieurs collèges thématiques, vous assurez la promotion de la formation aux compétences cyber et innovation. Nous souhaiterions aborder avec vous les questions tenant à la certification et à la labellisation des solutions de cybersécurité.

M. Philippe Latombe, rapporteur. Comment appréhendez-vous la notion de souveraineté numérique ? De quelle façon les politiques menées peuvent ou doivent-elles évoluer pour mieux l’intégrer le cas échéant ?

Ensuite, je souhaiterais que nous puissions échanger à propos de l’écosystème des entreprises françaises de la cybersécurité. Comment ces entreprises se portent-elles dans le contexte actuel de crise sanitaire durable ? Quels sont leurs besoins et leurs attentes vis-à-vis des pouvoirs publics ? Quelles sont leurs propositions pour participer à la construction d’une forme de souveraineté numérique ? Comment faire en sorte que l’écosystème cyber français continue de se développer et de se renforcer ? Ce thème nous permettra d’aborder les annonces récentes du Président de la République et l’actualité européenne marquée par la révision de la directive NIS (Directive on security of network and information systems) et par la présentation d’une stratégie cyber par la Commission européenne, à la fin de l’année dernière.

Enfin, s’agissant de la diffusion d’une culture cyber au sein de la société, quel regard portez-vous sur le niveau de sensibilisation des entreprises, des administrations publiques, des collectivités territoriales et des citoyens ? Je souhaiterais aussi que nous évoquions la formation aux compétences cyber alors qu’un campus cyber est en cours de développement, avec l’appui, notamment, de l’agence nationale de la sécurité des systèmes d’information (ANSSI). Comment la France se positionne-t-elle par rapport aux autres pays ? Existe-t-il des segments sur lesquels nous devrions compléter notre offre de formation pour combler d’éventuelles lacunes.

M. David Ofer, président de la Fédération française de la Cybersécurité. La Fédération française de la Cybersécurité a pour objet de rassembler toutes les organisations, les associations professionnelles, les entreprises, les personnes et, plus largement, tous les acteurs directs ou indirects liés à la cybersécurité.

Comme vous le savez, il existe un grand nombre d’associations et d’initiatives qui parlent aujourd’hui de manière dispersée. Au regard de l’actualité et de l’évolution sociétale, il est important de coordonner les actions sur la cybersécurité, en consolidant une filière qui est marquée et représentée, beaucoup trop souvent, par la dimension technique du sujet. Notre ambition est bien de coordonner l’ensemble de ces actions.

La cybersécurité est un élément incontournable de la vie du citoyen et des entreprises. Elle doit d’inscrire dans la lignée de la responsabilité sociétale et environnementale des entreprises, car l’impact d’une cyberattaque pénalise gravement le tissu économique et la souveraineté. La notion de souveraineté est liée à l’indépendance, celle de nos citoyens, de nos entreprises et plus largement de notre pays.

Ce qui devient aujourd’hui un véritable défi sur les sujets de cybersécurité ne peut se réaliser pleinement qu’en fédérant les acteurs existants, qui peuvent apporter, chacun dans son périmètre, des savoir-faire qui feront avancer cette souveraineté et la replaceront à l’ordre du jour. Si nous souhaitons aller dans cette direction, tous ensemble, il faut adapter notre vision et créer un cercle vertueux, où l’État jouera son rôle pour insuffler une politique, les agences techniques apporteront des garanties, les grands groupes pourront utiliser les moyens financiers et les PME créer de la valeur et une proximité avec le terrain. L’objectif doit être la protection du citoyen et du tissu économique et, par incidence, la protection des institutions.

La Fédération française de la Cybersécurité souhaite consolider cette filière en portant des messages représentatifs sur les problématiques rencontrées, mais aussi mener des actions de terrain pour remplir les objectifs que j’évoquais précédemment.

Parmi les actions que nous avons lancées pour le maillage territorial que nous souhaitons promouvoir, je citerai notre plan de création de 20 000 emplois sur la base d’un nouveau métier dédié aux jeunes non diplômés ou à des personnes souhaitant se reconvertir professionnellement. Ce nouveau métier d’assistant cyber a pour vocation de créer une proximité de terrain avec les utilisateurs du numérique, en informant et en complétant notamment le rôle des ingénieurs et des spécialistes techniques qui ont déjà fort à faire. Les premières formations vont débuter cet été.

Autre action concrète, la mise en place d’un soutien direct aux PME par la réalisation d’un diagnostic de cybersécurité gratuit qui permettra leur prise de conscience et les aidera, lorsqu’elles auront subi une cyberattaque, en les dispensant de payer la franchise d’assurance qu’elles auraient souscrite. Nous estimons le coût de cette opération de diagnostic à 20 millions d’euros environ, montant que nous espérons collecter auprès de l’État et des collectivités territoriales.

La Fédération française de la Cybersécurité mène des actions concrètes, de proximité, pour encourager au maximum la protection du tissu économique et la souveraineté française avec un esprit altruiste et citoyen.

Je peux poursuivre si vous le souhaitez avec un état des lieux et quelques chiffres qui permettraient d’avoir un peu de visibilité sur ce qui se passe aujourd’hui en France et à l’étranger.

M. Philippe Latombe, rapporteur. Très bien.

M. David Ofer. Les chiffres sur la menace cyber sont sous-estimés, et ce pour plusieurs raisons. D’abord, les chiffres sont basés sur les déclarations des attaques, sur les plaintes des victimes et sur les interventions de l’ANSSI et des forces de l’ordre. Or toutes les attaques ne sont pas déclarées. Un grand nombre de statistiques proviennent d’entités non indépendantes de type cabinets de conseils ou éditeurs.

L’ANSSI a réalisé 192 interventions en 2020, soit une augmentation de 200 % par rapport à 2019. Cybermalveillance de son côté a recensé 837 entreprises et 159 collectivités attaquées. Par ailleurs, les compilations de chiffres que nous avons de notre côté montrent que neuf organisations sur dix sont victimes de cyberattaques. Il faut noter qu’une cyberattaque n’est pas forcément une paralysie du système d’information. Selon une étude d’un spécialiste de la cybersécurité, 91 % des organisations françaises ont été la cible de cyberattaques cette année et 60 % ont subi plusieurs actes malveillants. 75 % et plus des attaques sont faites par des ransomwares (rançongiciels) en France comme dans le reste du monde.

Dans le classement mondial du nombre de détections arrivent en premier les États-Unis, le Japon, puis l’Inde. L’Espagne est en 8ème position de ce classement mondial, l’Allemagne en 10ème, l’Italie en 11ème et la France en 16ème. Les pays européens les plus touchés par les rançongiciels sont l’Allemagne en tête, suivie de la France, de l’Italie et du Royaume-Uni.

Une unité du FBI aux États-Unis, l’IC3 (Internet Crime Complaint Center) recense l’intégralité des plaintes liées au cybercrime. L’IC3 a annoncé une moyenne de 791 790 plaintes pour 2020 et 4,2 milliards de dollars de pertes pour les États-Unis. Nous n’avons pas ce genre de chiffres en France, parce que nous ne les recensons pas de la même manière.

En nombre de plaintes déposées, le Royaume-Uni arrive en première position avec 216 000 plaintes, suivi par le Canada (5 300), l’Inde (2 930). La France est septième dans ce classement avec 1 640 plaintes déposées par des victimes en 2020. Il existe une différence colossale entre le nombre d’attaques non référencées et le nombre de plaintes déposées.

Enfin, selon un éditeur d’antivirus, la cybercriminalité coûterait environ 1 000 milliards de dollars à l’économie mondiale.

M. Philippe Latombe, rapporteur. En quoi la cybersécurité est-elle une composante essentielle de la souveraineté numérique ? A-t-on aujourd’hui les moyens de pouvoir être souverain dans ce domaine de la cybersécurité ?

M. David Ofer. Les chiffres d’affaires des entreprises françaises qui sont annoncés en cybersécurité incluent beaucoup d’assistance technique, le chiffrement, les matériels télécoms, l’identification des personnes. Les logiciels utilisés aujourd’hui sont américains pour la plupart, notamment les systèmes d’exploitation, la bureautique, les bases de données, le cloud et les usages grand public. Les éditeurs étrangers commercialisent auprès de nos entreprises des produits qui comportent des failles de cybersécurité. Ainsi, Microsoft corrige en moyenne 100 vulnérabilités par mois ces derniers temps.

Est-ce normal ? Accepterait-on de rouler avec une voiture dont les freins sont défaillants ? Je ne sais pas. Il nous manque en France des champions en cybersécurité dans les secteurs du futur, en associant notamment l’Intelligence artificielle.

Dans le domaine des produits de cybersécurité, nous avons un tissu économique qui est fort, mais nous sommes démunis ce qui concerne le socle technologique qui traite du numérique. Nous n’avons pas de système d’exploitation français. Nous n’avons ni système de bureautique ni système de base de données français. Le cloud est un grand débat. Aujourd’hui, nous utilisons pour cette visioconférence un logiciel américain alors qu’il existe d’excellents logiciels français de visioconférence.

La problématique de la souveraineté passe aussi par le soutien des entreprises françaises, par un certain nombre de mesures à mettre en place. Le plan cyber que le Président de la République a annoncé est, certes, une excellente avancée, mais il est insuffisant.

Pour donner des chiffres, Israël a levé l’an dernier 2,6 milliards de dollars pour la cybersécurité. Notre plan représente un milliard d’euros, dont un peu plus d’une moitié financée par l’État et le reste par le privé. Au regard de notre population qui est dix fois plus importante que celle d’Israël, il nous aurait fallu a minima 26 milliards de dollars.

En Intelligence artificielle et en cybersécurité, nous sommes très loin derrière les investissements astronomiques chinois.

M. Philippe Latombe, rapporteur. Avez-vous des propositions à nous soumettre ?

M. David Ofer. Tout à fait. Il faudrait créer un small business act, c’est-à-dire inciter très fortement les mairies, les collectivités territoriales, les institutions publiques et parapubliques à acheter des logiciels et produits français en allant au-delà de la simple recommandation. Je peux vous donner des exemples très précis. L’aéroport de Nice choisit un produit américain pour sa cyberdéfense, Agirc-Arrco choisit des produits étrangers, la métropole de Nantes choisit des produits américains alors qu’en France, nous avons des produits de premier ordre qui sont aussi bons que les produits étrangers, notamment américains.

Souhaitons-nous une souveraineté, c’est-à-dire une indépendance ? Souhaitons-nous pousser notre industrie et favoriser notre tissu économique ou laisser la porte ouverte à des pays étrangers pour assurer notre cybersécurité ?

M. Philippe Latombe, rapporteur. Dans les exemples que vous avez cités, qu’est-ce qui a emporté le choix ? Le code des marchés publics ? Les acheteurs qui ne sont pas curieux et qui ont pris ce qu’ils avaient sur étagère ? Est-ce une forme d’entrisme des Américains ?

M. David Ofer. Le code des marchés publics oblige quasiment à mettre en place une grille tarifaire. Quand une société qui a des moyens colossaux accorde une remise de 90 % sur le prix de ses produits pour pénétrer un marché, une PME française n’a pas les moyens de s’aligner.

Il existe tout un écosystème américain. Les États-Unis ont mis en place depuis des années une politique visant à faire rayonner leur économie avec le Small Business Act. Il faut absolument créer un small business act à la française. Il faut absolument que l’on puisse, dès qu’une PME émerge dans la cybersécurité, lui proposer des marchés avec les services de l’État, des collectivités territoriales sans que cela soit un frein au développement.

M. Philippe Latombe, rapporteur. N’est-ce pas le rôle des intégrateurs d’être dans le conseil et dans le choix de solutions souveraines ?

M. David Ofer. Je ne rejoins pas tout à fait cette vision. Aujourd’hui, les grands groupes français intégrateurs de solutions de cybersécurité commercialisent des produits américains alors qu’il existe des équivalents français. Pour quelle raison ? Nous avons vécu la même situation avec les PC et la téléphonie mobile. On n’a pas aidé nos entreprises françaises parce que ces intégrateurs vont chercher la facilité et uniquement la valeur ajoutée sur le prix de vente. On n’a pas une vision de défense du tissu économique. On a des articles très intéressants sur le ruissellement économique. Quand vous achetez un logiciel français, vous créez de l’emploi en France, vous créez de la valeur ajoutée pour le tissu économique, vous créez de la proximité avec nos institutions, vous créez des capacités pour le tissu économique français à aller rayonner au-delà des frontières. Toute cette création de richesse, vous ne l’avez pas quand vous achetez un logiciel américain.

M. Philippe Latombe, rapporteur. L’État, les administrations publiques, les collectivités territoriales, les entreprises et les citoyens sont-ils suffisamment acculturés à la cybersécurité ?

M. David Ofer. Toutes les collectivités territoriales que je rencontre sont sensibilisées au risque cyber.

Il faut se poser la question de ce qu’est le risque cyber. Est-ce uniquement la paralysie par une attaque ou est-ce également la possibilité d’avoir accès à nos données ? Là se pose une question de politique : est-on prêt à laisser l’accès à nos données à tout le monde ? Ou veut-on avoir une politique souveraine sur la protection de nos données ?

Les collectivités territoriales sont parfaitement conscientes des enjeux de cybersécurité. Les directeurs des systèmes d’information (DSI) et les responsables de la sécurité informatique que je rencontre sont les premiers à essayer d’acheter des outils de cybersécurité. Ils font appel à l’ANSSI qui joue un rôle très important. Ils essayent de sensibiliser leurs utilisateurs, mais aujourd’hui, les collectivités territoriales n’ont pas toujours des moyens financiers et humains suffisants. Aujourd’hui, nous souffrons d’une pénurie forte d’ingénieurs : il manque trois à quatre millions d’ingénieurs en cybersécurité. On ne pourra pas former en France plusieurs centaines de milliers d’ingénieurs en deux ans. Il faut cinq, six, sept ans.

Cette problématique des moyens est un véritable sujet. Pour cette raison, la Fédération française de la Cybersécurité a prévu le nouveau métier d’assistant cyber, qui sera le relais entre la dimension technique de la cybersécurité et l’utilisateur, notamment dans les collectivités territoriales.

Je vais prendre un exemple simple. La plupart des agents dans les mairies ne savent pas changer leur mot de passe. Il faut un accompagnement pour ces personnels pour garantir la cybersécurité.

Oui, il y a une prise de conscience réelle dans les collectivités territoriales. Cela dit, les élus ne prennent pas toujours des décisions adéquates parce qu’ils manquent de connaissance en matière de cybersécurité. Ils ne voient que le risque de paralysie, et pas la problématique de l’exfiltration de données. La stratégie des smart cities peut être mise en péril à partir du moment où vous donnez un accès non autorisé à vos données à un tiers.

M. Philippe Latombe, rapporteur. Dans le plan de relance, le plan cyber est aussi dirigé vers les collectivités territoriales. Vous dites qu’elles manquent davantage de moyens humains que de moyens financiers.

M. David Ofer. Les deux. Vous avez de grandes collectivités territoriales qui ont des moyens, mais les petites mairies ont des ressources limitées. Dans une mairie que je ne citerai pas, ma rencontre avec les responsables de l’informatique a été fort intéressante. Par décision des élus, ils disposaient d’un budget de 5 000 euros pour la cybersécurité, contre 1,5 million d’euros pour la vidéosurveillance.

Au-delà de l’argent, il faut qu’il y ait cette volonté et cette prise de conscience que la cybersécurité est un enjeu de protection du citoyen. Nous l’avons vu avec la paralysie des hôpitaux. 

M. Philippe Latombe, rapporteur. Ne faudrait-il pas parler davantage des cyberattaques et de leurs conséquences ? Quand les hôpitaux ont été attaqués, on s’est rendu compte qu’ils n’avaient pas de plan de continuité d’activité. Suite à l’attaque de la ville d’Angers, une partie entière de l’activité est bloquée. Ils n’arrivent toujours pas à accéder aux données des horodateurs.

M. David Ofer. Communiquer sera toujours bénéfique, mais ne résoudra pas tout. La communication ne vous protégera pas des failles de sécurité que vous pouvez avoir dans les logiciels et dans les systèmes d’exploitation que vous achetez. Le seul moyen, c’est d’avoir une vision véritablement sociétale de la cybersécurité et peut-être d’avoir une approche à l’américaine, c’est-à-dire de quantifier très précisément le coût des cyberattaques. Aujourd’hui, des statistiques démontrent que plus de la moitié des entreprises qui ont vécu une cyberattaque sont absolument incapables de donner un chiffre précis du coût de celle-ci. 50 % des PME qui ont vécu une cyberattaque paralysante disparaissent dans les six mois qui suivent. Les grands groupes qui subissent des cyberattaques perdent, s’ils ne font rien, 20 % de leur valorisation, six à huit mois après. Ce sont des sommes colossales ! On ne pourra pas compenser ces problématiques uniquement avec de la communication, il faut des actions, il faut soutenir la filière de la cybersécurité, de manière à essayer de promouvoir ce tissu économique et de défendre nos institutions, nos entreprises et le citoyen.

M. Philippe Latombe, rapporteur. Il est communément admis que la France a un très haut niveau d’expertise en cybersécurité, que l’ANSSI est moteur dans la cybersécurité, que nous avons un écosystème de cybersécurité très à la pointe du progrès, qui suscite même des envies. Est-ce vrai ? Avons-nous des pépites qu’il faut absolument protéger ? À l’inverse, avons-nous des lacunes ?

M. David Ofer. Oui, nous avons un excellent écosystème français, parce que nous avons beaucoup d’entreprises qui développent de la technologie en cybersécurité avec des produits très innovants. L’ANSSI joue un rôle important pour les grandes entreprises.

Cela dit, quand on regarde la Suisse et la Grande-Bretagne, quand on regarde comment sont équipées les entreprises en termes de cybersécurité, les logiciels américains et israéliens dominent le marché.

L’écosystème français est bon et performant. Nous avons des logiciels et des ingénieurs de premier plan. Le vrai sujet est le suivant : comment promouvoir ces entreprises au-delà de nos frontières ? Je reviens à ma proposition de small business act à la française. Il faut aider nos entreprises à obtenir des marchés, il faut être capable d’investir massivement dans ces entreprises.

En 2016, un rapport américano-anglais présentait deux pépites françaises de la cybersécurité comme des licornes en devenir : Pradeo et ITrust. Ces deux entreprises ont levé respectivement un et deux millions d’euros, alors que deux entreprises américaines, Palantir et Tenable ont levé des centaines de millions et rayonnent sur le marché de la cybersécurité au niveau mondial.

Si l’on veut favoriser nos entreprises, il faut investir et aider les entreprises à accéder à des marchés, ce qui passe par la commande publique, par la génération de chiffre d’affaires et par un rôle d’accompagnement des autorités. L’ANSSI délivre des certifications qui sont utiles pour les grands groupes, mais elle devrait avoir un rôle de conseil et d’accompagnement pour les entreprises à l’export.

Il existe un grand nombre de certifications, mais aujourd’hui, la problématique est l’investissement dans les pépites et l’écosystème. Le plan d’un milliard est nécessaire, mais il faut aller au-delà. Pour faire une licorne, il faut investir dans une entreprise entre vingt et cinquante millions d’euros. Je ne connais pas un fonds français qui est prêt à investir un tel montant sur une entreprise qui ne réalise pas de chiffre d’affaires. Toute la problématique se situe à ce niveau. Aux États-Unis, en Israël et dans quelques autres pays, vous avez des entreprises qui, avec quelques centaines de milliers d’euros de chiffre d’affaires, lèvent des centaines de millions et deviennent de véritables champions.

En France, nous avons laissé filer des pépites. Je veux vous donner l’exemple de Sentryo, qui a été créée par un entrepreneur français qui a développé une solution pour vérifier l’IoT (Internet of the Things). Il a fait le tour des investisseurs français, qui ont regardé son dossier avec dédain. À cours de solutions, cet entrepreneur courageux a été obligé de passer sous drapeau américain. Malheureusement, les décideurs français regardent les dossiers d’investissement avec un œil de banquier, et non avec une prospective de souveraineté dans l’intérêt du tissu économique national.

M. Philippe Latombe, rapporteur. Voulez-vous dire qu’aujourd’hui, les entreprises de la cybersécurité sont trop petites et devraient se regrouper afin de pouvoir atteindre une taille critique qui leur permet d’avoir accès à des marchés plus gros et à des financements plus importants ?

M. David Ofer. Non, il faut qu’il y ait une floraison d’entreprises, parce que plus vous aurez d’entreprises qui vont émerger, plus vous aurez la chance d’avoir, au travers de l’une d’entre elles, des champions qui pourront créer de l’emploi, promouvoir notre économie et défendre notre souveraineté. C’est ce que nous n’avons pas aujourd’hui par manque de moyens.

M. Philippe Latombe, rapporteur. La floraison ne rend-elle pas plus difficile l’intégration de ces solutions dans le système d’information des clients ? Ne génère-t-elle pas un problème d’interopérabilité ?

M. David Ofer. La multiplicité des acteurs de la cybersécurité est liée à la multiplicité des outils informatiques. Un système d’exploitation ne se sécurise pas de la même manière qu’une base de données, qu’un réseau informatique, qu’un routeur, etc. Cette multiplicité de moyens demande une multiplicité d’outils de protection. Vous ne mettez pas un verrou sur une fenêtre, mais des barreaux.

M. Philippe Latombe, rapporteur. Si la cybersécurité est une conséquence d’une démarche d’ensemble (il faut que la cybersécurité soit présente sur l’ensemble de la chaîne numérique, de sa construction jusqu’à son utilisation), où faut-il investir aujourd’hui ? Où les entreprises de la cybersécurité doivent-elles être les plus proactives ?

M. David Ofer. Sur les systèmes d’information, la cybersécurité doit couvrir toute la chaîne. Vous ne sécurisez pas votre maison en laissant une fenêtre ouverte. C’est la raison pour laquelle aujourd’hui, des méthodes de R&D pratiquent la security by design, c’est-à-dire intègrent les problématiques de cybersécurité dès le début. Aux États-Unis, c’est devenu un standard. En France aussi. Néanmoins, ce n’est pas suffisant. On voit que même des géants se font aujourd’hui cyberattaqués et que certaines solutions américaines que l’on croyait sécurisées ne le sont pas du tout.

Il faut déployer ce security by design à chaque niveau d’utilisation. La partie IoT  arrive, avec les outils connectés. Là se pose une problématique de sécurisation de l’un des maillons que l’on ne maîtrise pas. Cela fait partie des défis qui sont lancés aujourd’hui aux acteurs de la cybersécurité.

M. Philippe Latombe, rapporteur. Quelles sont les trois actions qui devraient être mises en place, qu’elles soient financières ou législatives.

M. David Ofer. Il faut savoir de quoi l’on parle. Veut-on de la souveraineté avec une indépendance ou veut-on partager notre data avec nos alliés ?

Aujourd’hui, nous sommes dans une position de faiblesse extrême. Comment peut-on vouloir une souveraineté européenne à partir du moment où l’on utilise des produits et des technologies non européens ? Je peux prendre des exemples pour être concret. L’OSCE (Organisme de la Sécurité et de la Coordination européenne) a passé il y a deux ou trois ans un appel d’offres pour sa cybersécurité. Il n’utilise que des produits américains !

Quand on parle de souveraineté et d’indépendance, il faut faire des choix difficiles. Sommes-nous prêts à jeter nos téléphones portables ? À jeter les systèmes d’exploitation ? À changer toutes les habitudes des utilisateurs que certains appellent des consommateurs ? Aujourd’hui, si vous voulez acheter un téléphone mobile français, un système d’exploitation français ou un ordinateur français, vous aurez beaucoup de mal. Cette problématique a un impact sur la cybersécurité, car il est très difficile de sécuriser des systèmes que l’on ne maîtrise pas de bout en bout.

Microsoft présente des failles de cybersécurité qu’il corrige régulièrement. Finalement, vous vous retrouvez dans la situation dans laquelle vous achetez des produits américains et, parce qu’ils ne sont pas sécurisés, vous devez acheter des antivirus américains. Ce faisant, vous appauvrissez votre pays, vous enrichissez les États-Unis et en plus, vous subissez quand même des cyberattaques.

Si j’avais le pouvoir, je mettrais en place un fonds de soutien pour les entreprises qui se font cyberattaquer et une contribution obligatoire pour les entreprises étrangères qui commercialisent leurs logiciels en Europe. Il faut qu’à un moment, ces entreprises payent une contribution qui soit reversée aux entreprises victimes des cyberattaques qui sont permises par les logiciels qu’elles nous vendent. C’est un sujet sur lequel nous travaillons à la Fédération. Nous espérons que nous pourrons le mettre en place en France, avec votre aide. Si cette contribution est mise en place, elle obligera les fournisseurs étrangers à déployer des efforts conséquents pour améliorer la qualité des systèmes qu’ils nous vendent.

M. Philippe Latombe, rapporteur. Y a-t-il d’autres sujets que vous voulez évoquer ou des sujets sur lesquels vous voulez remettre l’accent ?

M. David Ofer. Non, je suis là pour répondre à vos questions. J’ai donné beaucoup d’informations et d’exemples très concrets. J’ai martelé qu’il fallait favoriser la commande de produits français dans la commande publique. J’espère que le message est passé.

M. Philippe Latombe, rapporteur. Le message est passé. Le sujet a été identifié dès le début des travaux de la mission d’information.


—  1  —

Audition, ouverte à la presse, de MM. Pierre Lelièvre et Olivier Charlannes, vice-présidents de la société IDEMIA, et de M. Cosimo Prete, président fondateur de la société Crime Science Technology
(1er avril 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le Président Jean-Luc Warsmann. Avec MM. Olivier Charlannes, vice-président « Développement et marketing » de la société IDEMIA, Pierre Lelièvre, vice-président « Identité digitale » de cette même société et Cosimo Prete, président fondateur de la société Crime Science Technology, notre échange portera principalement sur l’identité numérique, qui s’entend comme la capacité à fournir aux citoyens et aux entreprises un moyen de s’authentifier avec un haut niveau de sécurité, lorsque ceux-ci accèdent à des services publics ou privés.

Nous nous intéressons aux enjeux de souveraineté technologique et de sécurité, afin de nous assurer que les solutions déployées sont les plus sûres et autonomes possible.

M. Philippe Latombe, rapporteur. Je souhaite d’abord que nous échangions sur les enjeux de l’identité numérique et sur la façon dont le déploiement de ces solutions, publiques ou privées, peut contribuer à renforcer la souveraineté numérique de la France et de l’Europe. À ce titre, j’aimerais vous entendre sur les choix faits, notamment dans le projet d’identité numérique régalienne, ainsi que sur le positionnement de notre pays par rapport à ses homologues européens. Le déploiement de ces identités numériques, qui devait intervenir à l’occasion du lancement de la carte nationale d’identité électronique (CNIe), suscite des inquiétudes sur lesquels vous nous donnerez votre avis.

J’aimerais ensuite que vous abordiez les conditions de réussite du déploiement de ces solutions auprès des citoyens et des professionnels, notamment sur les attentes et les besoins de ces utilisateurs, ainsi que sur les usages offerts par ces solutions. Nous pourrons ainsi prendre connaissance de l’état actuel du marché de l’identité numérique et échanger sur ses principales évolutions à venir. À cette occasion, nous évoquerons le modèle économique de l’identité numérique, qui a fait l’objet de nombreux débats. Concrètement, vous nous direz quelle doit être l’articulation entre l’action de la puissance publique et les solutions offertes par les acteurs privés dans ce domaine.

Je vous propose enfin de nous parler des enjeux de sécurité et de protection des données, qui préoccupent l’ensemble des utilisateurs de ce type de solutions. Vous nous indiquerez quelles sont leurs principales inquiétudes et comment les solutions d’identité numérique sont actuellement sécurisées.

M. Pierre Lelièvre, vice-président « Identité digitale » de la société IDEMIA. Je vous remercie de votre invitation. Pour IDEMIA, leader de la biométrie, il était important de pouvoir prendre part à ce débat.

De notre point de vue, l’identité numérique constitue la base de la souveraineté numérique de l’État, qui doit garantir une identité pour tous et assurer la sécurité de ses citoyens. Or, à l'heure actuelle, un citoyen sur six dans le monde ne dispose d’aucune identité. Ce point figure parmi les objectifs des Nations Unies pour 2030.

L’une des missions régaliennes de l’État est de garantir l’identité de ses citoyens, alors que notre économie se trouve actuellement en pleine transformation numérique, tirée par des nouveaux usages en ligne. Ces usages imposent aux États de nouveaux enjeux de lutte contre la fraude, notamment à l’identité connectée. Selon nous, l’introduction de la biométrie demeure l’un des moyens les plus efficaces pour y répondre, car celle-ci fait le lien entre le document physique et l’identité numérique, en réduisant les risques de fraude à l’identité.

 IDEMIA maîtrise la sécurisation de l’identité, notamment grâce à la biométrie. Il s'agit d’un Groupe international issu du rapprochement de fleurons de l’industrie française. Nous sommes présents dans cent quatre-vingts pays et investissons plus de 200 millions d’euros par an en recherche et développement (R&D). Nous possédons également plus de mille cinq cents familles de brevets actifs. Nous sommes donc un pilier du numérique français, engagé auprès du Gouvernement pour favoriser la recherche et l’emploi, notamment en France. À titre personnel, je suis responsable du développement de l’identité numérique dans le monde, pour le secteur public.

En tant que leader de l’identité augmentée, notre objectif est de contribuer à une identité pour tous. Nous fournissons une réponse technologique de confiance, avec pour mission de créer un écosystème pour servir tous les usages. Ces usages peuvent être aussi bien publics (disposer d’un document d’identité, accéder à des services en ligne tels que l’éducation, la santé ou les aides sociales) que privés (souscrire à une ligne téléphonique, ouvrir un compte bancaire).

Depuis plus de quarante ans, le Groupe IDEMIA agit auprès des gouvernements, les accompagnant dans leur stratégie vis-à-vis de l’identité civile, à la fois par le biais de documents physiques sécurisés et de solutions s’appuyant pour partie sur la biométrie. Dans les années 1970, nous avons créé le premier capteur et le premier moteur d’analyse biométrique au monde, pour le compte du Federal Bureau of Investigation (FBI).

Depuis 2020, nous assistons l’agence européenne eu-LISA dans sa conception du système qui gérera les entrées et sorties du territoire européen. Il y a quelques jours seulement, nous avons été désignés, par le National Institute of Standards and Technology (NIST), numéro 1 dans le monde sur l’un de nos algorithmes d’analyse biométrique.

Il ne peut pas y avoir de souveraineté nationale sans identité numérique. En effet, la multiplication des services en ligne appelle au renforcement du niveau de sécurité. À ce propos, la crise sanitaire aura prouvé que certains actes essentiels au bon fonctionnement de notre système ont dû être stoppés ou reportés, en particulier les élections de mars 2020.

De façon plus générale, nous avons besoin d’accéder à une multitude de services de façon connectée. Or l’État demeure le seul acteur en mesure de vérifier l’identité de la personne se trouvant en face de nous lorsque nous sommes connectés. En ce qui concerne notre échange par Zoom de ce jour, je n’ai pas pu prouver mon identité. Il est donc urgent que nous puissions disposer d’une identité numérique.

Certains acteurs, notamment les géants du net, ont pu collecter pendant des années les données des citoyens français ou d’autres pays dans le monde, sans aucun encadrement. En Europe, le Règlement général sur la protection des données (RGPD) a corrigé une partie de ce déséquilibre, mais celui-ci existe toujours. À ce sujet, la souveraineté implique de pouvoir solliciter des acteurs locaux partageant les mêmes valeurs, respectant les mêmes lois et les mêmes codes éthiques. Pour autant, l’égalité de traitement n’est pas respectée.

La donnée est nécessaire au développement d’un logiciel d’analyse biométrique. Or pour l’heure, il nous faudrait des années pour accéder au même volume de données que certains de nos concurrents Nord-Américains ou Asiatiques, car la réglementation européenne actuelle ne nous permet pas de progresser à la même vitesse. Il est donc urgent de permettre à notre industrie de rester compétitive et d’avoir accès aux données de façon sécurisée, afin d’éviter les dérives observées dans d’autres régions.

Dans le secteur des télécommunications, certains acteurs européens comme Alcatel, qui ne disposaient pas du même appui gouvernemental que leurs homologues étrangers, ont vu leur position s’affaiblir. De la même manière que ce lien existe dans l’aéronautique, il devrait exister dans le domaine de l’identité, car il représente un enjeu majeur pour notre avenir.

Il est encore temps de renforcer le partenariat entre le public et le privé, pour compenser les déséquilibres. Notre intérêt n’est pas d’obtenir des subventions, mais de nous doter des moyens de rester dans la course. Pour y parvenir, IDEMIA souhaite la mise en place d’une réglementation permettant de protéger l’usager en respectant sa vie privée.

En parallèle, la compétitivité de notre industrie devra être soutenue. Nous pourrions par exemple nous inspirer de l’Allemagne, qui a transposé dans son droit interne la possibilité d’utiliser les données à des fins de R&D.

Nous devons protéger notre savoir et l’avance dont nous disposons encore. Plusieurs pistes existent, comme la création d’un label de fournisseur de confiance en matière d’identité numérique, dont la gestion pourrait, par exemple, être confiée à l’agence nationale de la sécurité des systèmes d'information (ANSSI). Il sera ensuite temps de définir ce que nous souhaitons mettre en place pour nos citoyens, en nous donnant les moyens de contrôler l’environnement mobile, de garder un droit de regard sur l’utilisation des données à des fins de recherche, ainsi que de disposer d’acteurs industriels supportant nos ambitions.

En France, un appel d’offres en cours devrait permettre de mettre en place la première étape de l’identité numérique. Si le retard pris s’explique en partie par la pandémie, tout retard supplémentaire n’enverrait pas un signal positif concernant notre capacité à nous doter d’un système d’identité numérique.

M. Cosimo Prete, président de la société Crime Science Technology. L’identité numérique et notre souveraineté sont des sujets qui me sont chers, car je suis un ancien expert de la police technique et scientifique.

Notre entreprise Crime Science Technology (CST) est spécialisée dans la fourniture de solutions de sécurité pour protéger les documents d’identité ou encore les billets de banque. Nous identifions également les personnes à partir de leurs empreintes digitales, grâce à des solutions déployées dans une vingtaine de pays dans le monde.

Chez CST, nous définissons la souveraineté numérique comme l’interaction harmonieuse entre l’État, les citoyens, les territoires et les acteurs économiques, dans l’intérêt du bien commun. Puisque la notion de frontière géographique n’a plus vraiment de sens dans le cadre du déploiement d’une solution d’identité numérique, il est important d’entretenir une relation de confiance entre les acteurs de l’industrie, les citoyens et l’État, afin de garantir l’identité de tous les individus.

S'il est désormais tout à fait possible de s’identifier à distance, rien ne dit en revanche que le support que vous tenez entre les mains est un document authentique. Il semble ainsi fondamental de combiner identité physique et numérique de manière harmonieuse, afin de pouvoir tirer le meilleur des deux mondes.

Les éléments déclinés à l’échelle européenne doivent pouvoir se retrouver au niveau national. Or nous sommes en droit de nous demander si le monopole régalien chargé de l’identité de confiance de tous les Français est en capacité de tirer le meilleur de ce que peut produire l’industrie française. Nous comptons des fleurons tels qu’IDEMIA ou Thales, plaçant la France dans le top 3 mondial des pays les mieux dotés en matière d’industrie de la sécurité. La question est de savoir si nous sommes en mesure de tirer le meilleur de tous les industriels et fournisseurs de solution, afin de garantir un niveau de sécurité maximal et une identité de confiance pour tous les Français.

Historiquement, la gestion des données n’a jamais été simple dans la culture française. Depuis l’après-guerre, une peur du fichage s’est même développée. L’enjeu est donc de regagner la confiance des citoyens, tant par une bonne gestion des données que par la manière dont celles-ci seront sécurisées sur les plans physique et digital. Chez CST, nous réfléchissons à cette relation de confiance, en prenant en compte les besoins opérationnels du terrain et les attentes des citoyens, tout en étudiant les meilleures façons de travailler avec les industriels pour déployer nos solutions.

L’organisation de l'aviation civile internationale (OACI) est une institution internationale chargée de formuler des recommandations de sécurité concernant les éléments électroniques, numériques et physiques des documents d’identité. C’est sur elle que s’appuie le Règlement européen pour concevoir nos titres français. Celle-ci produit également un état de l’art tous les trois ans. Je m’interroge toutefois sur la prise en considération de cet état de l’art dans notre identité numérique, tant sur sa composante physique que digitale.

En 2015, la Cour des comptes a affirmé qu’il était important de réfléchir à la façon de réguler le monopole d’État dans l’intérêt du bien commun. Or depuis la privatisation de l’Imprimerie nationale se pose la question de l’existence d’un conflit d’intérêts, car cette institution est devenue un centre de profits devant, dans le même temps, garantir la sécurité nationale. Il convient donc de s’assurer que nous disposons des outils de contrôle nécessaires pour tirer le meilleur de notre industrie.

M. Philippe Latombe, rapporteur. Vous avez indiqué que les géants du numérique avaient creusé leur avance, d’une part, en commençant à collecter les données plus tôt que nous, d’autre part, en bénéficiant d’un environnement juridique plus favorable à la poursuite de leur collecte. Quel type de données ont-ils collecté de manière massive ? Lesquelles vous seraient utiles en tant qu’industriels de la sécurité numérique ?

À ce jour, où en est la France par rapport à ses partenaires européens ? Existe-t-il des innovations apparues dans certains pays mais qui ne sont pas utilisées en France ? Connaissez-vous des pays situés hors de l’Europe présentant des niveaux de sécurisation de titres identiques ?

M. Cosimo Prete. Il y a environ trois ans, CST a été approché par la Bundesdruckerei (l’imprimerie nationale allemande), au sujet de notre solution de sécurisation Optical variable material (OVM). Cette technologie permet d’authentifier les documents en moins de trois secondes, aussi bien à l’œil nu qu’avec un simple appareillage. L’Allemagne a ainsi manifesté son intérêt lors du salon mondial de la sécurité de Londres en 2018. Depuis cette date, nous travaillons en toute confidentialité avec l’imprimerie nationale allemande, pour réfléchir au déploiement de cette technologie dans ce pays.

L’Allemagne pratique une véritable veille technologie, en s’appuyant sur des budgets colossaux. Ainsi, en 2015, le budget R&D de l’imprimerie nationale allemande était huit fois supérieur à celui de son homologue français, s’appuyant sur une politique très forte en matière de propriété intellectuelle, ainsi que sur des partenariats tirant l’ensemble de l’écosystème vers le haut. Afin d’offrir le meilleur niveau de sécurité possible à ses documents, l’Allemagne ambitionne également d’aller chercher un certain nombre de solutions à l’extérieur. Ainsi, l’imprimerie nationale allemande construit et finance des programmes de R&D avec différents partenaires, notamment en collaboration avec les experts de la police allemande. Ces synergies ont permis à cette nation de mettre en place une identité électronique depuis une dizaine d’années. De son côté, la France reste l’un des derniers pays à déployer la sienne.

Le programme INES (identité nationale électronique sécurisée) a été lancé en 2005, posant les premiers jalons d’une CNIe. Du retard a ensuite été pris, probablement pour des raisons réglementaires quant à l’exploitation des données. Le projet de l’époque a alors été transféré sur le titre de séjour et sur le permis de conduire électroniques. Les technologies nécessaires étaient donc déjà disponibles, il y a une dizaine d’années. Avec les autres experts, nous ne comprenons pas comment autant de retard a alors pu être pris dans la conception de ce document, tant sur le plan physique que numérique. À l’inverse, les Allemands ont su mettre à profit ce qu’ils avaient accompli il y a une dizaine d’années, pour désormais évoluer.

Plusieurs centaines de milliers d’usurpations d’identité sont recensées chaque année en France. La fraude sociale se chiffre par exemple à 14 milliards d'euros pour l’État. Il est donc surprenant de constater que les moyens consacrés à la R&D demeurent limités, comparativement à ce que pratiquent nos voisins.

L’Allemagne scrute avec attention l’état de l’art triennal de l’OACI, dans lequel figure CST. À l'heure actuelle, une cinquantaine de technologies ont été identifiées à l’échelle mondiale, dont une quarantaine concerne la sécurité numérique et une dizaine la sécurité physique. Sur ces dernières, trois proviennent de chez CST. À ce stade, je m’interroge donc sur l’absence de ces solutions sur notre titre régalien, alors qu’elles profitent à des pays tels que l’Allemagne ou d’autres situés en Océanie. Il est en effet surprenant que la France ne soit pas capable de mettre en œuvre les meilleures solutions présentes sur son territoire.

La photo en noir et blanc figurant sur notre carte d’identité est fournie par une solution américaine, alors qu’IDEMIA ou Thales sont capables de produire une photo en couleur depuis plusieurs années. Une telle solution est déjà proposée dans des pays comme l’Estonie. Je m’interroge donc sur les choix technologiques ayant été faits, qui témoignent parfois d’un certain archaïsme. En effet, la moyenne d’âge des éléments de sécurité actuellement embarqués sur notre titre sécurisé dépasse la dizaine d’années, alors qu’il a paradoxalement été préconisé de limiter la durée de ce titre à dix ans, pour des raisons de sécurité.

Les innovations présentées par la presse n’en sont pas véritablement. Pour preuve, l’une des sécurités embarquées date d’il y a une trentaine d’années. Celle-ci a été préférée à une solution française figurant dans le dernier état de l’art. Cette tendance se vérifie également pour le cachet électronique visible (CEV), qui date d’il y a une dizaine d’années, alors qu’il serait possible de recourir à une norme universelle interopérable. Tous ces choix suscitent des interrogations sur le pilotage des projets, ainsi que sur l’articulation entre l’agence nationale des titres sécurisés (ANTS), l’Imprimerie nationale et l’ensemble des fournisseurs français.

M. Pierre Lelièvre. Il faut établir une distinction entre le volet lié au document et le volet numérique de l’identité française. Ce dernier a été lancé en 1974, avec l’initiative SAFARI (système automatisé pour les fichiers administratifs et le répertoire des individus), qui s’est conclue par la création de la CNIL (commission nationale de l'informatique et des libertés). Nous avons donc pris le temps de bien étudier les différents modèles dont il était possible de s’inspirer. Un certain nombre d’expérimentations ont ainsi été réalisées en France, nous permettant de tirer de nombreux enseignements des initiatives passées. J’espère à présent que l’accélération dont nous avons besoin se produira dans les mois à venir, tant en matière de volume que de valeur apportée par l’identité numérique.

La qualité du résultat du développement d’algorithmes dépendra de la qualité de la donnée initialement injectée. Nous disposons encore d’une certaine avance en la matière mais sans accès à la donnée, cette avance finira par être remise en question. Or les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ont eu accès à un volume de photos sans précédent. L’enjeu est donc de pouvoir accéder à ces données, pour les transposer en informations biométriques et ainsi améliorer les performances de l’algorithme.

Dans le monde, il n’existe pas une façon unique de traiter un système d’identité numérique. En Europe, le modèle estonien sert de point de référence, avec une taille critique permettant de prendre des décisions plus facilement. Il a tout de même fallu près de vingt ans avant que ce système obtienne un taux de pénétration satisfaisant.

La vraie question pour la France est de savoir comment se donner les moyens d’une identité numérique accessible à tous. Pour y parvenir, le virage vers le « tout numérique » est souvent évoqué, mais celui-ci devra tout de même être accompagné, notamment de pédagogie. Des moyens humains seront nécessaires, afin de proposer des parcours alternatifs. Quoi qu'il en soit, l’utilisation d’un modèle complètement numérique ne nous semble pas réaliste et ne constituera pas un facteur clé pour créer la confiance entre les utilisateurs et la technologie.

L’Estonie se repose fortement sur son titre sécurisé équipé d’une puce permettant d’accéder à un panel de services en ligne. Dans ce pays, il est possible d’effectuer l’ensemble des opérations de la vie de tous les jours grâce à son identité numérique.

D’autres modèles étrangers s’appuient sur des infrastructures radicalement différentes. En effet, chaque pays où nous intervenons présente une législation et une population qui lui sont propres. En 2010 par exemple, l’Inde a démarré son virage vers l’identité numérique, en déployant le programme Aadhaar. L’État a alors demandé à ses citoyens de partager leurs informations biographiques et biométriques, dans un but de pratiquer la déduplication. Cette technique permet de valider qu’une même personne n’existe pas sous plusieurs noms différents. Plus de 90 % des 1,3 milliard d’Indiens ont été « embarqués » dans ce système. Équiper autant de personnes d’un titre sécurisé a toutefois représenté un coût très élevé.

En plus de disposer de documents sécurisés, certains gouvernements d’Amérique latine se sont par ailleurs dotés d’un système biométrique permettant aux différents acteurs des pays de vérifier l’identité des personnes.

De son côté, le modèle européen s’est tourné vers un titre sécurisé, pour des raisons historiques. Dans tous les cas, l’identité numérique implique de passer par plusieurs étapes. Il faut d’abord valider le document en lui-même, avant de s’assurer que sa date de péremption n’est pas dépassée. Seul le Gouvernement est en mesure d’effectuer ces opérations. Une fois le titre d’identité validé, ce même Gouvernement se charge d’y associer le porteur. Plusieurs technologies existent pour y parvenir. La biométrie est par exemple très largement déployée dans le monde, en raison de sa grande facilité d’utilisation.

M. Philippe Latombe, rapporteur. Le projet Aadhaar incluait effectivement les analyses biométriques des dix doigts et des deux iris. Le problème de la biométrie est que ces informations se retrouvent parfois à des endroits où elles ne devraient pas. Une partie des informations d’Aadhaar a ainsi été vendue par des pirates, pour se retrouver sur le dark web. Je me demande donc si la biométrie est suffisamment sécurisée ou si elle ne constitue pas au contraire une nouvelle mine d’or pour certains hackers, y compris au titre de l’Intelligence entre pays.

M. Pierre Lelièvre. Les logiciels IDEMIA sont utilisés en Inde mais le programme est ensuite géré en local. Le stockage et la protection des données n’a donc pas fait partie de notre champ d’action. Notre rôle est d’accompagner les gouvernements et de leur montrer l’état de l’art pour collecter ces données, les stocker et les gérer de façon sécurisée. Nous insistons par exemple sur la nécessité de séparer et de rendre anonymes un certain nombre d’informations.

M. Philippe Latombe, rapporteur. En France, au sujet de la sécurisation du titre ou de l’identité numérique associée, vos interlocuteurs sont-ils en capacité d’accepter ce que vous leur proposez ? À cet égard, le fait de recourir à une technologie américaine pour mettre une photo en noir et blanc sur un titre d’identité, alors même que des sociétés françaises comme Thales ou IDEMIA sont capables d’offrir de la couleur, pose question.

M. Pierre Lelièvre. Nous n’utilisons pas les photos sur la partie biométrique, car le procédé consiste, dans un premier temps, à transformer la matière brute. Ainsi, la photo est transformée en un template qui permettra d’en tirer une analyse biométrique, mais celui-ci n’est pas directement exploitable. Il sera alors stocké, via plusieurs niveaux de chiffrement. Les premières informations dont nous disposons sont donc stockées dans le coffre-fort de l’État.

L’identité est prouvée au moment de sortir son document. Il existe ainsi un décalage entre les usages demandés en ligne et les moyens dont nous disposons à l'heure actuelle pour nous authentifier.

Sur les documents physiques, nous investissons plus de 200 millions d’euros par an. Nous investissons également massivement dans des technologies liées à la photo, notamment en couleurs, permettant de valider que le document en présence a bien été émis par un gouvernement. Sur ce point, nous proposons de nombreuses technologies différentes aux gouvernements du monde.

M. Philippe Latombe, rapporteur. L’État pratique-t-il le sourcing ? Accepte-t-il de se pencher sur les nouvelles technologies ou préfère-t-il se réfugier dans une forme de conformisme ? Sur certaines solutions totalement numériques, les acheteurs publics n’ayant pas le temps de pratiquer le sourcing, ces derniers se contentent de passer des marchés publics qu’ils connaissent déjà. Cette tendance conduit à conserver des technologies anciennes et généralement américaines, pour lesquelles l’ensemble des briques sont rassemblées en un même endroit. En toute logique, c’est l’ANTS qui devrait s’occuper de ces sujets. Quoi qu'il en soit, sommes-nous en capacité d’aller sourcer le meilleur de l’état de l’art, pour ensuite donner l’ordre à l’Imprimerie nationale de faire le nécessaire ?

M. Pierre Lelièvre. La sécurité s’apparente à une course contre des acteurs produisant des attaques et gérant de la fraude dans nos systèmes. Cette course ne connaît pas de fin et nous pousse en permanence à nous remettre en question et à développer des innovations. Par conséquent, ni la France, ni l’Estonie, ni aucun autre pays dans le monde ne se trouve à un niveau maximum de protection de ses documents d’identité, car il est toujours possible de faire mieux. Nous développons donc constamment des innovations, qui doivent ensuite accéder au terrain.

Au sujet de la CNIe, nous faisons partie des fournisseurs, notamment de la puce. Celle-ci permettra une évolution significative, en matière de niveau de sécurité, pour vérifier l’authenticité du titre. Cette puce respecte également tous les standards du marché.

M. Olivier Charlannes, vice-président « Développement et marketing » de la société IDEMIA. Il existe des technologies alternatives à celles ayant fait l’objet d’une décision du Groupe Imprimerie nationale. D’autres éléments de sécurité qui seront inscrits sur la CNIe ont en effet été sourcés sur le territoire français par le biais d’autres sociétés. Dans ce cadre, une évaluation est menée sur l’ensemble des fonctions de sécurité.

La sécurité d’un document physique dépend d’une combinaison de l’ensemble des fonctions de sécurité intégrées sur ce document. Or il nous est difficile d’affirmer qu’il aurait fallu ajouter telle fonction plutôt qu’une autre, car IDEMIA est actuellement partie prenante du projet de lancement de la nouvelle CNIe, en particulier au niveau de la puce et du logiciel embarqué. Ce dernier a été développé par nos équipes de R&D en France et a été certifié au plus haut niveau de sécurité par l’ANSSI.

M. Cosimo Prete. S'agissant de l’évaluation de la sécurité, les forces de l’ordre observent au quotidien les retours du terrain. Les agents disposent en moyenne de cinq secondes pour contrôler un document. Ils n’ont donc pas le temps d’examiner les changements de couleur, le nombre d’étoiles ou encore de tourner la pièce à quatre-vingt-dix degrés. Ils ont donc besoin de quelque chose d’intuitif, que tout le monde peut comprendre et mémoriser en moins de trois secondes. Les informations concernant l’évaluation de la fraude sont ensuite remontées au niveau de l’ANTS et de l’Imprimerie nationale, lorsque des réunions sont organisées, car la conduite du projet ne comporte aucun point d’étape.

La moyenne d’âge des éléments de sécurité est supérieure à une dizaine d’années. Hormis la puce, le package proposé s’avère ainsi plus ou moins équivalent à celui du permis de conduire ou du titre de séjour européen (TSE). L’année dernière, Europol a constaté que des falsifications de ces titres ont été retrouvées dans certaines officines de faussaires démantelées en France et en Europe. Or les spécialistes du ministère de l’Intérieur et les experts de l’Imprimerie nationale se sont aperçus que les mêmes techniques étaient employées pour le document d’identité nationale. Il semble donc surprenant que des combinaisons d’éléments de sécurité figurant sur des titres dits secondaires se retrouvent sur notre document régalien, qui se doit d’être le plus sécurisé de tous.

M. Philippe Latombe, rapporteur. Il me semblait que le ministère de l’Intérieur était le donneur d’ordre via l’ANTS et que l’Imprimerie nationale était l’exécutant. À cet égard, un marché public doit avoir été lancé avec un cahier des charges. Comment se fait-il que le ministère de l’Intérieur n’ait pas déjà été au courant de ces éléments ?

Par ailleurs, il avait initialement été convenu que la CNIe et l’identité numérique seraient disponibles en même temps, alors que les deux ont finalement été décorrélées. L’État n’est-il donc pas en capacité de gérer ce type de sujets en mode projet ? Le retard de l’un a-t-il entraîné le retard de l’autre ?

M. Cosimo Prete. L’absence d’appel d’offres pour la partie relative à la conception physique du document constitue une véritable difficulté. Cette situation est liée au monopole régalien de l’État, qui exclut toute forme de compétitivité technologique et économique.

Une autre difficulté majeure concerne les effectifs de l’ANTS, qui ne comptent plus qu’un seul ingénieur spécialisé. L’agence cherche donc actuellement à recruter un chef de projet pour le programme CNIe, ce qui paraît inquiétant.

Il n’est pas possible d’être expert à la fois de la partie juridique, normative et industrielle. Or il me semble qu’une seule personne est pour l’instant en charge du sujet et le porte à bras-le-corps. Au final, une forme de déséquilibre se crée entre le donneur d’ordre et l’exécutant. Faute de pouvoir pleinement engager sa responsabilité, en raison d’un manque d’expertise, il me semble que le projet repose davantage sur l’exécutant.

Dans le même temps, l’avis des experts de la police et de la gendarmerie n’est plus écouté, car ces derniers s’autocensurent, faute de pouvoir exiger des technologies. Par conséquent, pour un élément de sécurité donné, l’ANTS affirmera que l’Imprimerie nationale ne lui a soumis aucune proposition, alors que l’Imprimerie nationale répondra que l’ANTS ne lui a pas demandé l’élément de sécurité en question. De fait, l’Imprimerie nationale finira par l’emporter, car c’est elle qui propose la combinaison figurant sur le document final.

Il n’existe pas de cahier des charges mais plutôt des cibles de sécurité posant une problématique opérationnelle de terrain, à laquelle une réponse tente d’être apportée sans y associer de nombre de sécurités. Tout le monde finit ainsi par se renvoyer la responsabilité, pour aboutir à une forme de raisonnement circulaire. À l’arrivée, une réponse est apportée à la cible de sécurité mais il n’est pas certain que celle-ci soit la meilleure possible.

Le Règlement de l’Union européenne formule des demandes très précises. Par exemple, pour une encre optiquement variable, différentes solutions existent sur le marché. Il est alors très simple de comparer les éléments de sécurité, au moins en ce qui concerne la partie physique. Ces éléments présentent trois niveaux de contrôle : à l’œil nu, avec un petit appareillage, en laboratoire. Un quatrième niveau sera bientôt ajouté, avec le téléphone portable. Lorsqu’un élément de sécurité retenu ne peut être vérifié que sur un seul niveau de contrôle alors qu’une autre technologie répondant à la même fonctionnalité peut se vérifier sur quatre niveaux de contrôle, je m’interroge sur la politique mise en œuvre. Il semble en effet que la politique du « moins-disant » soit privilégiée, par méconnaissance des éléments de sécurité et des technologies déployées sur le terrain.

En 2018, l’Imprimerie nationale a pris l’initiative, avec l’ANTS, de proposer notre technologie à la Commission européenne, pour sécuriser le TSE. La technologie a alors été éprouvée en profondeur par l’Imprimerie nationale. Nous avons ensuite été « retoqués », au motif que l’ANTS et l’Imprimerie nationale considéraient que notre technologie ne répondait pas à la norme. Trois ans plus tard, nous avons pourtant appris que la norme avait mal été interprétée. Ironiquement, notre technologie en question est désormais classée dans le top 50 de cette norme.

M. Pierre Lelièvre. Je suis d’accord avec M. Cosimo Prete concernant l’importance de disposer de moyens pour contrôler l’identité sur le terrain.

Par ailleurs, le contexte actuel diffère radicalement de celui de 2019. Nous sommes ainsi contraints de nous connecter en ligne pour échanger, opérer ou effectuer des transactions. Aussi critique que soit la vérification des titres physiques, nous nous trouvons désormais en plein virage numérique. Cette tendance existait déjà depuis plusieurs années, mais connaît actuellement une forte accélération à cause de la crise sanitaire. Or, personne n’avait anticipé le niveau des attentes auxquelles nous sommes confrontés.

S'agissant de notre souveraineté numérique, nous faisons face à un déséquilibre, car nous nous trouvons face à des acteurs en position dominante maîtrisant l’environnement mobile. Le smartphone est désormais devenu totalement incontournable, dans le domaine privé comme dans le public. À l'heure actuelle, ces téléphones sont maîtrisés par deux acteurs décidant de ce qu’il est possible ou non de réaliser avec eux. Ainsi, certains choix commencent déjà à se fermer pour nous. Si nous ne prêtons pas la plus grande attention à la façon dont nous souhaitons nous positionner, en tant que nation ou en tant qu’Europe, face à ces acteurs gérant une partie de notre écosystème, nous finirons par rater le virage et il sera presque impossible de le rattraper.

Il convient donc de nous interroger sur notre façon d’utiliser les téléphones et sur les informations qui y seront disponibles. Dans le cas contraire, nous serons amenés à charger des informations liées à notre identité pivot sans savoir où celles-ci se retrouveront. Nous pourrions par exemple exiger de la part de ces acteurs un certain niveau de sécurité concernant la zone de stockage et la zone d’exécution. Il sera donc nécessaire de décomposer les étapes et les informations que nous avons besoin de partager, ainsi que de nous demander comment elles seront utilisées. Pour rappel, lors de la parution du RGPD, ces acteurs ont tenté de lutter contre les contraintes que celui-ci impliquait.

Nous nous trouvons à un point critique où un système d’identité numérique est en passe d’être lancé à l’échelle de la nation. Cette identité numérique reposera sur un certain nombre d’infrastructures. Les fournisseurs de service tels que les collectivités locales, les banques ou les opérateurs auront besoin d’accéder à l’information gouvernementale, car c’est bien l’État qui est en mesure de confirmer l’identité d’une personne. Cette information devra de toute façon être partagée sur certains supports, qu’il s’agisse d’ordinateurs ou de téléphones portables.

Nous avons donc besoin d’exprimer nos exigences et d’établir une certaine normalisation. Un premier niveau a été mis en place en ce qui concerne les données avec le RGPD. Un deuxième l’a également été avec le Règlement eIDAS (Electronic Identification Authentication and trust Services), qui a permis d’atteindre un premier objectif d’harmonisation au sein de l’Europe. Nous devons désormais nous montrer plus spécifiques concernant nos attentes vis-à-vis des parties prenantes. Sur ce point, impliquer les GAFAM me paraît être une bonne façon de répondre à l’accélération face à laquelle nous nous trouvons.

M. Philippe Latombe, rapporteur. L’année dernière, les députés ont adopté une loi interdisant la simple déclaration de majorité sur Internet pour la visite de sites pornographiques. Le conseil supérieur de l’audiovisuel (CSA) est en train de mettre cette loi en pratique, en demandant à ces sites de vérifier que les personnes souhaitant y accéder sont bien majeures. Comment y parvenir, alors que l’identité numérique n’est pas encore disponible ? Des pistes existaient autour du micro-paiement bancaire mais elles ont été rejetées par le CSA, car certaines cartes bancaires peuvent être délivrées avant l’âge de 18 ans. FranceConnect représente une autre option. Un système de capture d’écran pourrait également être envisagé, la personne montrant sa carte d’identité pour accéder au site.

Au final, nous ne sommes pas en capacité de mettre en œuvre la loi adoptée. Ce retard sur l’identité numérique n’est-il pas le signe que le sujet a été pris à l’envers ?

M. Pierre Lelièvre. Nous avons participé à un certain nombre de groupes de réflexion autour de la question des usages, animés par le ministère. Cette question se pose dans de nombreux pays, en lien avec le contenu de certains sites ou à la consommation de certains produits, pour lesquels il est nécessaire de prouver son identité ou son âge. La question est donc de savoir comment partager certaines informations sans forcément transmettre l’intégralité du contenu figurant sur nos documents d’identité.

Un moyen de pallier la difficulté est de considérer l’identité comme un service pouvant être offert par l’État à sa population. L’idée est de percevoir l’identité comme un besoin fondamental, en particulier l’identité numérique. Nous pourrions alors disposer d’un service de l’État auquel il serait possible de se connecter pour accéder à certaines d’informations pertinentes aux cas d’usage. Ainsi, dans le cas où l’âge d’une personne devait être vérifié, seule cette information serait disponible. Or il existe déjà des solutions permettant de ne contrôler qu’une partie des attributs définissant notre personne. À titre personnel, je ne souhaite pas partager mon adresse avec n’importe quel fournisseur de service ou acteur.

Quoi qu'il en soit, la technologie existe déjà et il nous reste désormais à définir la façon dont nous souhaitons la mettre en œuvre pour répondre aux différents cas d’usage.

M. Philippe Latombe, rapporteur. L’État dispose-t-il des talents nécessaires pour mener à bien ce projet ? J’ai cru comprendre que l’ANTS manquait d’experts.

M. Pierre Lelièvre. La France possède un vivier d’universités extrêmement pertinent. De notre côté en tout cas, nous ne rencontrons aucune difficulté pour recruter, tant pour les profils ingénieurs que commerciaux.

M. Philippe Latombe, rapporteur. L’État a-t-il la capacité de trouver des personnes à la fois intégrées en son sein et ouvertes sur le plan technologique, afin de pratiquer le mode projet ?

M. Pierre Lelièvre. Nous menons de nombreux projets avec le Gouvernement ainsi qu’avec l’Europe, sans pour autant rencontrer de problèmes de gestion. Dans ce cadre, nous émettons des recommandations, mais toutes ne sont pas entendues. Je suis en tout cas satisfait de nos échanges avec l’ANTS ou avec les forces de l’ordre.

L’État n’est pas seulement accompagné par des acteurs tels qu’IDEMIA ou des start-up, mais également par certains grands intégrateurs. Par exemple, l’appel d’offres sur l’identité numérique lancé en fin d’année sollicite l’aide de ces intégrateurs. Ainsi, le Gouvernement français semble bien conseillé.

M. Philippe Latombe, rapporteur. J’évoquais le mode projet car d’autres auditions ont mis en évidence que certains ministères n’étaient pas en capacité de gérer par projet.

M. Pierre Lelièvre. S'agissant de l’identité numérique, nous considérons que les moyens mis en œuvre sont insuffisants par rapport aux attentes et aux enjeux.

M. Philippe Latombe, rapporteur. Selon vous, les montants de l’appel d’offres semblent trop restreints ?

M. Pierre Lelièvre. Oui, très clairement. Je pense que nous ne sommes pas parvenus à nous maintenir dans les objectifs qui nous avaient été fixés. D’un point de vue technologique, cet appel d’offres répond vraiment à la situation actuelle, en prenant en compte différents types de documents à valider. Il permet également de se projeter vers l’avenir, avec l’utilisation de la biométrie.

M. Philippe Latombe, rapporteur. S’agit-il d’un appel d’offres alloti ou général ?

M. Pierre Lelièvre. L’appel d’offres est alloti, comme c’est souvent le cas à l'heure actuelle. Pour y répondre, un cahier des charges très précis a été formulé et a évolué en suivant certaines recommandations, notamment en provenance de l’ANSSI. Nous avons alors été amenés à travailler en consortium avec d’autres entreprises, chacune devant y trouver sa place. Nous n’avons toutefois pas été en mesure de totalement répondre aux conditions financières demandées, alors que notre réponse était cohérente sur le plan technique.

M. Philippe Latombe, rapporteur. Aucun appel d’offres n’a été lancé sur la partie relative au titre physique ?

M. Cosimo Prete. À notre connaissance, les éléments de sécurité physique de la carte n’ont fait l’objet d’aucun appel d’offres.

Je suis en grande partie d’accord avec les propos tenus par M. Philippe Lelièvre. Un élément m’interpelle cependant au sujet de l’authentification à distance. À ce propos, le CEV vient d’être présenté par l’ANTS, alors qu’un tel dispositif était encore inimaginable il y a deux ans. Les mouvements associatifs ont en effet dû batailler pour faire intégrer le CEV sur la carte. Le contraste semble ainsi saisissant avec les annonces du Président de la République. Si les associations n’avaient pas bataillé à travers des collectifs, notre CNI ne comporterait pas de CEV.

Le CEV ayant été adopté sur notre CNI en est à sa version 101 et non 105. Par conséquent, chaque fois qu’un nouveau cas d’usage n’ayant pas été prévu par le CEV actuel se présentera, il sera nécessaire de réactualiser l’ensemble du système. À l’inverse, la version 105 du CEV a été validée selon la dernière norme AFNOR pour être universelle et interopérable, avec une mise à jour des différentes fonctionnalités. Nous nous fixons ainsi nos propres limites, en adoptant la version 101 et non 105 du CEV, alors que cette dernière pourrait être lue hors de France.

Par effet ricochet, cette décision plombera d’autres projets comme le pass sanitaire (qui consistait à déployer une solution française à l’échelle européenne), à cause de l’absence d’un référencement national stratégique. Cette situation semble vraiment surprenante.

M. Philippe Latombe, rapporteur. Vous voulez dire que l’avenir n’a pas assez été anticipé ?

M. Cosimo Prete. Assurément.

Je ne suis pas favorable au « tout digital » ni au « tout physique ». Il faut plutôt combiner le meilleur des deux mondes de manière harmonieuse. À ce sujet, l’ANSSI a lancé en mars le référentiel d’exigences applicables aux prestations de vérification d’identité à distance (PVID). Si certains fournisseurs de solutions devront travailler à l’authentification à distance de ce document, il est aberrant de penser que toutes les données pourront être contenues dans un téléphone portable ou dans une carte. Il existe en revanche des technologies permettant de déterminer que le CEV placé sur le document et le document en lui-même sont tous les deux authentiques. Il ne faut donc pas chercher à opposer les deux mondes.

En l’éclairant à l’aide d’un téléphone portable, il est possible de faire changer la couleur du CEV et ainsi de prouver à la caméra l’authenticité du support et du CEV. Cette méthode sera déployée chez nos voisins alors qu’il s’agit d’une solution française. Nous ne sommes donc pas capables de préparer l’avenir. Des impératifs nous sont indiqués mais nous ne parvenons pas à nous donner les moyens intellectuels, économiques et industriels pour aller plus loin.

L’enjeu est de déterminer la part de mixité technologique entre les grands fournisseurs de solutions et le monopole de l’État pour préparer l’avenir ensemble. Nous rencontrons des difficultés sur ce point, notamment car les ressources dont nous disposons en matière de gestion de projet ne sont pas à la hauteur de nos ambitions.

M. Philippe Latombe, rapporteur. Notre identité numérique sera disponible bien plus tard que ce qui était initialement prévu. Combien de temps faudra-t-il attendre avant que celle-ci ne soit lancée ?

M. Pierre Lelièvre. Différentes étapes devront être franchies, mais il faudra un peu plus d’un an pour mettre en place la première brique de ce système d’identité numérique. Une partie est déjà disponible chez FranceConnect, qui doit généraliser certains éléments tels que l’accès à DOCVERIF. Ce système permet de valider un certain nombre d’informations auprès de l’État, par exemple pour vérifier qu’un document existe bel et bien ou qu’il est toujours en cours de validité. À l'heure actuelle, ces informations ne sont pas encore totalement généralisées dans le modèle.

Le seul fait de disposer d’une puce dans les documents permettra de débloquer un certain nombre d’usages en ligne, car ces puces demeurent des éléments extrêmement sécurisés. Elles sont par exemple utilisées dans les passeports pour passer les frontières. Elles permettent également de disposer d’une authentification de niveau élevé auprès des différents fournisseurs de services. À ce sujet, le Règlement européen considère la puce comme l’élément ultime qui permettra de procéder à l’authentification d’un document puis à l’identification d’une personne. Ce dispositif vérifiera notamment que la photo présente à l’intérieur de la puce correspond réellement à la personne en question. Plusieurs méthodes permettront d’y parvenir. L’ANSSI envisage de placer un humain de l’autre côté de la vidéo, mais il est également possible d’utiliser un système automatique. Quoi qu'il en soit, les deux approches devront être complémentaires.

M. Philippe Latombe, rapporteur. Le temps que l’identité numérique, telle qu’elle est prévue dans l’appel d’offres, soit mise en place, de nouveaux usages non prévus risquent-ils d’émerger d’ici douze à vingt-quatre mois, générant ainsi un blocage à l’arrivée ? Cette éventualité a-t-elle été intégrée dans le process ?

M. Pierre Lelièvre. Des nouveaux usages émergent en permanence. En Estonie par exemple, il est désormais possible de voter avec son document d’identité.

M. Philippe Latombe, rapporteur. Le vote figure parmi les grands sujets que nous avons évoqués hier. Le conseil scientifique a en effet affirmé que si nous avions pu vérifier l’identité numérique des citoyens, il aurait alors été possible d’organiser des élections municipales et régionales dans des conditions sanitaires convenables. La question est donc de savoir si nous disposerons d’une interopérabilité complète pour assurer ces nouveaux usages, dont l’émergence n’est pas forcément encore connue.

M. Pierre Lelièvre. Il est nécessaire de protéger la santé de nos concitoyens, en leur offrant la capacité de voter en ligne. Dans le même temps, nous avons besoin de protéger notre République, en nous assurant que les élections se déroulent dans un certain cadre. À l'heure actuelle, je ne pense pas que nous soyons en mesure d’affirmer que nous disposons d’un système permettant d’organiser des élections de façon connectée. Une telle mesure ne serait de toute façon pas en ligne avec la réglementation européenne.

En tant qu’industriel, notre rôle est de déterminer si la technologie actuellement disponible nous permet d’« adresser » ces cas d’usage. Or nous y parvenons déjà dans d’autres pays et pas seulement en Estonie. De manière générale, tous les projets dans le monde doivent faire face à une certaine flexibilité. S’il est utile de disposer d’un cahier des charges initial, certains critères évolueront en fonction de l’actualité, comme c’est en ce moment le cas.

Les informations de base dont nous aurons besoin seront présentes sur la puce de la prochaine carte d’identité. Ces informations permettront de passer à des cas d’usage nettement plus critiques, comme les élections. Il sera toutefois nécessaire de légiférer pour y recourir.

M. Philippe Latombe, rapporteur. Il semble que les individus ne voient pas trop d’inconvénients à utiliser leur empreinte digitale pour déverrouiller leur téléphone, ou à présenter leur visage pour déverrouiller leur ordinateur. À l’inverse, à partir du moment où l’État souhaite récolter des données biométriques pour sécuriser l’identité de ces citoyens, un problème finit par se poser. Quel est donc votre point de vue sur la façon dont l’opinion perçoit le recours à la biométrie ?

M. Pierre Lelièvre. La biométrie est de plus en plus utilisée. Je pense donc que le niveau de confiance s’améliore. Le grand public est en tout cas en train de se familiariser avec des systèmes d’authentification biométriques. S'agissant du téléphone, les empreintes ont d’abord fait leur apparition, avant d’être suivies par la reconnaissance faciale.

Nous avons besoin de recourir à la pédagogie, ainsi que de mieux expliquer ce que nous souhaitons faire et comment nous comptons y parvenir. Sur ce point, il est essentiel d’établir une distinction entre l’identification et l’authentification. Un dispositif d’identification de masse au sein d’une population donnée sera perçu comme un système de surveillance, alors que l’authentification consiste à prouver qu’un nom correspond bien à une personne donnée. Pour leur part, les téléphones pratiquent essentiellement l’authentification et n’ont pas vraiment intérêt à recourir à l’identification.

Il existe trois niveaux de sécurité pour s’authentifier : ce que l’on possède, ce que l’on sait et ce que l’on est. Pour augmenter le niveau de sécurité, nous cherchons à associer toutes ces notions. Vous possédez ainsi un titre sécurisé dont la puce contient un certificat doté d’éléments cryptographiques permettant d’attester de façon certaine qu’il s'agit bien d’une carte du Gouvernement français. Cette carte peut également vous distribuer un code PIN. En entrant ce code, vous démontrerez que vous êtes effectivement la bonne personne ayant reçu la carte, comme c’est le cas dans le domaine bancaire. Enfin, le dernier niveau de sécurité est incarné par la biométrie, qui consiste à démontrer que vous êtes bien une vraie personne avec un visage en trois dimensions et que ce visage correspond au nom affiché.

La biométrie paraît assez largement utilisée aujourd'hui, que ce soit dans le monde du mobile ou dans la sphère gouvernementale, dans d’autres régions du monde. Il existe ainsi une question relative au téléphone et à la confiance accordée à l’État. Sur ce point, il est vrai que la défiance s’avère plus forte lorsqu’il est question de partager plus d’informations. Je ne sais pas si cette perception concerne l’ensemble des citoyens français ou si elle résulte simplement de certains lobbies. Toujours est-il que l’État demeure le mieux placé en la matière, car il dispose de plus d’informations, que n’importe quel acteur privé.

Certaines chaînes de grande distribution demandent des informations biométriques à leurs clients afin qu’ils puissent réaliser leurs achats. À titre personnel, je ne suis pas tellement favorable à de telles pratiques, car nous ne savons pas comment sont stockées ces données, comment elles sont protégées, ni qui peut y accéder.

La confiance entre le Gouvernement et la population ne se créera pas toute seule. Pour y parvenir, il sera nécessaire d’expliquer précisément pourquoi et comment les identités numériques seront gérées. Celles-ci ne seront peut-être pas destinées à des fins d’identification mais plutôt d’authentification, afin de permettre aux individus d’effectuer des transactions de façon plus sereine sur le web, par exemple pour accéder à des services ou pour vendre des objets.

La biométrie demeure donc un vrai enjeu. La question n’est plus de savoir si elle sera utilisée, car elle l’est déjà, mais quand elle le sera dans ce contexte.

M. Philippe Latombe, rapporteur. Chacun d’entre vous dispose à présent de deux minutes pour aborder un point qui n’aurait pas été évoqué et pour conclure.

M. Pierre Lelièvre. Je ne souhaite pas que le débat se cristallise sur la biométrie, qui est un moyen d’authentification présentant trois niveaux de sécurité, la puce correspondant probablement au plus élevé.

La question du niveau de maturité de la biométrie se pose, et pas seulement à l’échelle de la France. À l'heure actuelle, l’état de l’art montre que les algorithmes de biométrie ont environ une chance sur un million de confondre une personne avec une autre. De plus, la probabilité que le système échoue à identifier une personne donnée a été estimée à moins de 1 %. Le niveau de maturité de la technologie s’avère donc très bon.

Il convient désormais de nous demander comment nous souhaitons utiliser la biométrie dans le parcours client et dans notre vie de tous les jours en tant que citoyens, plutôt que de lutter contre elle. À condition de nous en donner les moyens, nous devons absolument nous équiper car nous sommes en train de perdre notre avance au profit d’autres acteurs.

M. Olivier Charlannes. M. Philippe Lelièvre a insisté à juste titre sur l’importance de pouvoir accéder aux données dans le développement des technologies d’Intelligence artificielle.

Il semble également judicieux, au niveau européen, de mettre en place un organisme d’évaluation de la performance de ces technologies, en opposition au NIST (National Institute of Standards and Technology), l’organisme américain de référence. Pour l’instant, l’évaluation des différentes technologies est réalisée à l’aune de cet organisme. Ainsi, la mise en place d’un organisme comparable, au niveau européen, offrirait la possibilité à chaque État membre de s’y référer pour évaluer les technologies qui lui seront soumises, leur niveau de performance et la manière dont elles ont été développées. Cette mesure permettrait de disposer d’un vrai référentiel de comparaison au niveau européen, auquel les État membres pourraient avoir recours.

M. Philippe Latombe, rapporteur. Je prends ce point, afin d’étudier comment nous pourrions approfondir le sujet.

M. Cosimo Prete. La proposition de M. Olivier Charlannes peut être déclinée au niveau national. Nous pourrions ainsi nous doter d’une commission mixte composée d’experts de l’industrie et d’experts publics, afin de renforcer les ressources de l’ANTS dans le pilotage des programmes régaliens. Cette mesure permettrait de prendre de la hauteur par rapport au monopole d’État et de rationaliser les choix technologiques. Pour l’heure, ce monopole se trouve encore tiraillé entre source de profit et sécurité nationale.

Nous pourrions même envisager d’aller plus loin, avec la mise en place d’un small patriot act, afin de nous aider à bâtir une souveraineté nationale à l’échelle de l’Europe.

Il est toujours possible de mieux faire, mais qu’avons-nous fait de plus depuis la création en 2010 de la puce implémentée dans notre nouvelle CNIe ? Le pilote ne pourrait-il pas évoluer sans pour autant perturber les contraintes calendaires d’ici le mois d’août ?


—  1  —

Audition, ouverte à la presse, de Mme Valérie Péneau, inspectrice générale de l’administration, directrice du programme interministériel France Identité numérique (FIN), et de Mme Anne-Gaëlle Baudouin-Clerc, préfète, directrice de l’agence nationale des titres sécurisés (ANTS)
(1er avril 2021)

Présidence de M. Philippe Latombe, rapporteur.

M. Philippe Latombe, président et rapporteur. Je remercie Mme Valérie Péneau, inspectrice générale de l’administration et directrice du programme interministériel France Identité numérique (FIN), ainsi que Mme Anne-Gaëlle Baudouin-Clerc, préfète et directrice générale de l’agence nationale des titres sécurisés (ANTS) d’avoir accepté de participer à nos travaux.

Notre échange portera principalement sur le projet d’identité numérique régalienne développé par l’État, qui est censé garantir à chaque Français une identification sécurisée sur les services publics et privés qu’il utilise dans sa vie quotidienne. Le numérique occupe une place croissante dans la vie de chacun, ce qui rend nécessaire la proposition d’une solution publique sécurisée de confiance, pour que les garanties apportées par l’État dans le monde réel se déclinent également dans la sphère numérique.

Je me réjouis donc que nous puissions dresser ensemble un état des lieux de l’avancement de ce projet, ainsi qu’évoquer la nécessité de maximiser le recours à des technologies souveraines dans ce cadre.

Je souhaiterais vous entendre sur trois points.

J’aimerais d’abord que vous nous présentiez un état des lieux de l’avancement du projet d’identité numérique porté par l’État. Ce projet est en effet important pour l’ensemble des citoyens, au regard de leur utilisation croissante des services numériques publics et privés. Le calendrier de déploiement de cette identité numérique, qui devait intervenir à l’occasion du lancement de la carte nationale d’identité électronique (CNIe), suscite actuellement des inquiétudes. Comment cette identité numérique régalienne peut-elle participer à la construction d’une forme de souveraineté numérique nationale ou européenne ? Comment nous positionnons-nous par rapport à nos principaux voisins européens ?

Mon second point porte sur le fonctionnement de cette identité numérique. Je souhaite que vous reveniez sur ses principes et que vous indiquiez comment cette identité numérique régalienne s’articulera avec FranceConnect. J’aimerais également vous entendre sur la façon dont cette solution sera sécurisée et sur les usages qu’elle offrira aux entreprises et aux citoyens. Nous pourrons ainsi échanger sur le modèle économique de l’identité numérique et donc sur l’articulation entre la puissance publique et les acteurs privés dans ce cadre.

Enfin, j’aimerais élargir notre échange à la gestion du pilotage des projets numériques au sein de l’État. Quels sont, selon vous, les prérequis méthodologiques indispensables pour mener à bien un projet numérique de cette nature ? Nous avons eu un échange avec M. Dominique Pon, responsable de la stratégie du numérique en santé, qui nous indiquait qu’il fallait privilégier l’approche par briques, sans tenter de tout révolutionner en même temps. J’aimerais donc savoir si vous partagez cette approche, par petits pas, de la numérisation de l’État et des administrations publiques. Je souhaite également connaître les principaux obstacles qu’un gestionnaire de projet comme vous peut être amené à affronter dans l’exercice de ses fonctions.

Mme Valérie Péneau, inspectrice générale de l’administration, directrice du programme interministériel France Identité numérique (FIN). Nous sommes deux à nous adresser à vous, illustrant l’articulation et la complexité du projet d’identité numérique régalienne. Je m’occupe pour ma part de la partie relative aux systèmes d’information du moyen d’identification électronique que nous concevons. Celui-ci a pour particularité de s’articuler avec des documents sources, que sont les titres d’identité électroniques, en premier lieu la carte nationale d’identité électronique (CNIe) mais aussi les passeports et titres de séjour, portés par Mme Anne-Gaëlle Baudouin-Clerc.

Le programme France Identité numérique s’inscrit dans la même temporalité que les autres projets liés à l’identité numérique. Il s'agit de projets complexes, sur lesquels nos voisins ont souvent pris de l’avance, certains d’entre eux ayant déjà été notifiés à la Commission européenne. Je précise qu’il ne suffit pas de notifier un schéma à la Commission européenne, l’identité numérique doit ensuite être utilisée au quotidien.

La France a souhaité accélérer un processus qui avait connu plusieurs échecs par le passé, pour des raisons assez diverses. Cette nette accélération a été permise par le nouveau Règlement européen sur les cartes d’identité électroniques, les deux projets ayant été lancés de manière concomitante. L’articulation entre les deux a ainsi pu s’établir de façon native. Dès la conception de la carte d’identité, nous avons en effet été en mesure d’y inclure une approche technologique permettant d’intégrer une application à l’origine de l’identité numérique. Cette approche a pu être définie très rapidement avec les industriels. La distribution de la carte sera donc prochainement généralisée.

Nous ne disposons toutefois pas encore du système d’information permettant d’exploiter cette dimension de l’identité numérique, puisqu’un décalage de quelques mois est attendu. Celui-ci s’explique d’abord par la complexité du processus, notamment au niveau de la mise en place de l’expertise et des compétences nécessaires. Il s’explique également par le fait que nous avons déjà fait l’objet de recommandations de la part du conseil national du numérique et de la mission parlementaire ad hoc de Mme Christine Hennion et de M. Jean-Michel Mis, qui ont déjà expertisé le projet. Une consultation publique avait également eu lieu sur le sujet. Notre cahier des charges a ainsi été complété.

Au-delà des garanties fixées par le Règlement eIDAS (Electronic IDentification Authentication and trust Services) et des référentiels de l’agence nationale des systèmes d’information (ANSSI), nous avons intégré ce cahier des charges citoyen qui a été défini l’été dernier. Celui-ci nous a amené à revoir certains parcours envisagés, pour tendre vers une plus grande inclusion, nous conduisant à reformuler un certain nombre de process.

Dans le même temps, l’ANSSI s’est penchée sur le sujet, pour aboutir à un référentiel sur la vérification d’identité à distance, publié en mars dernier. Nous avons alors dû en tenir compte lors du lancement des marchés.

Cette période de travaux complémentaires nous a par ailleurs permis de « maquetter » un certain nombre de parcours. L’objectif était de nous doter d’un premier moyen d’identification électronique. Celui-ci ne correspondra toutefois pas au niveau de sécurité le plus élevé, en raison de la longueur du temps de qualification. D’ici la fin de l’année 2021, il permettra, en revanche, à l’usager, d’utiliser sa CNIe en interface avec une application. Il s’agira par la suite d’obtenir un moyen d’identification électronique qualifié au niveau eIDAS, le délai moyen d’instruction s’élevant en moyenne à quatre mois.

Ce décalage se retrouve dans les autres pays européens, où les cartes sont en générale distribuées dans un premier temps, avant d’être accompagnées d’une offre numérique. Quoi qu'il en soit, le projet a fait l’objet d’un cadrage très précis, qui le sécurise et nous permettra, dans les prochains mois, de répondre à la demande.

Mme Anne-Gaëlle Baudouin-Clerc, directrice de l’agence nationale des titres sécurisés. Le projet relatif à l’identité numérique est piloté et mis en œuvre par le programme interministériel FIN dirigé par Mme Valérie Péneau. De son côté, l’agence a lancé l’appel d’offres précédemment évoqué à l’été 2020. Elle joue également un rôle d’ordonnateur pour les dépenses engagées autour de ce projet.

En tant que porteurs responsables pour le compte du ministère, nous sommes en charge de la gestion de quatorze titres sécurisés, pour lesquels nous sommes responsables à la fois de la conception des systèmes, de l’acheminement des titres et du support usager. En effet, le développement des téléprocédures a fait émerger un fort besoin d’accompagnement.

La priorité pour 2021 concerne le déploiement progressif de la nouvelle CNIe. Depuis le 15 mars dernier, celle-ci est déployée dans le département de l’Oise. Depuis la semaine dernière, elle a également été lancée à la Réunion et en Seine-Maritime. Sous réserve du succès de ces différents pilotes, le déploiement de la carte sera par la suite étendu par vagues successives à l’échelle des régions, entre la mi-mai et le début du mois de juillet. Dans le même temps, le Règlement européen a prescrit à chaque État de se doter d’une nouvelle carte d’identité avec puce avant le 2 août. La France est ainsi en passe de rattraper son retard sur les autres pays de l’Union européenne.

En 2020, nous avons connu une diminution importante de la demande de titres, dans une proportion inédite en ce qui concerne les passeports et de 19 % pour la carte d’identité, malgré ses usages liés à la vie quotidienne. Le déploiement de la nouvelle carte d’identité dépend donc également des évolutions de la crise sanitaire. Nous anticipons désormais une forte augmentation de la demande, qui surviendra probablement au cours de la seconde partie de l’année 2021 et en 2022. Avant la crise, cette demande de cartes d’identité se trouvait en revanche en augmentation structurelle. Cette donnée devra être prise en compte lors de la mise en service opérationnelle de l’identité numérique.

M. Philippe Latombe, rapporteur. L’identité numérique s’appuiera dans un premier temps sur la CNIe, avec l’arrivée d’une interface d’ici un an. Les deux projets sont-ils liés et embarquent-ils tous les deux des caractéristiques évolutives, ou bien d’autres projets ont-ils été menés en parallèle ?

Mme Valérie Péneau. L’identité numérique existe déjà dans le cadre de FranceConnect, mais la proposition de valeur supplémentaire que nous sommes en train de construire concerne l’obtention d’une identité numérique très sécurisée. Pour y parvenir, l’enjeu est d’aboutir à la dématérialisation de nouveaux usages, ainsi qu’à la sécurisation d’un écosystème d’échange de données. L’idée est de s’appuyer sur les titres d’identité à l’aide d’une interface cryptographique faisant le lien entre les données d’identité protégées dans la puce du titre et une application.

Les deux projets sont intimement liés. Selon la définition figurant dans la loi pour une République numérique, un moyen d’identification électronique doit servir à transmettre des données d’identité. Ces données doivent provenir de quelque part. À la différence d’autres États, la France ne dispose d’aucun registre unique de population. Ce sont en effet nos titres d’identité qui font office de source d’identité. Notre moyen d’identification électronique tirera donc ses données de ces titres. Un ensemble logiciel passera ensuite par le smartphone de l’intéressé, pour exporter et exploiter ces données d’identité.

Avant la CNIe, nos seules sources d’identité possibles se limitaient aux passeports et aux titres de séjour. Malgré leur diffusion à environ vingt-deux millions d’exemplaires, les passeports ne sont pas très inclusifs. La perspective de déploiement de la CNIe implique donc un changement de modèle.

Mettre au point une CNIe en deux ans constitue un exploit pour un pays aussi vaste que le nôtre. Quoi qu'il en soit, puisque les deux projets ont été lancés à la même date, ils ont été conçus en partenariat. À ce propos, le programme est logé sur la même plateforme que l’ANTS et bénéficie de moyens en partie fournis par cette dernière. Nous avons également travaillé ensemble à la définition des spécificités de la puce et poursuivons notre partenariat.

Une direction de programme a été mise en place, en raison du caractère particulier de l’identité numérique, impliquant notamment des interférences interministérielles. Le projet est donc totalement articulé avec l’agence. Ensemble, nous travaillons quotidiennement à la définition des spécificités de la carte et nous nous pencherons prochainement sur les parcours ainsi que le support utilisateurs.

M. Philippe Latombe, rapporteur. Nous venons d’auditionner la société IDEMIA ainsi qu’un industriel. Selon ce dernier, la CNIe ressemblerait fortement à un copier-coller du titre de séjour ou du permis de conduire. Or d’après ce que vous évoquez, ce support aura une importance majeure, puisqu’il embarquera la partie liée à l’identité électronique. S’agit-il réellement d’une copie ? Quelles sont les évolutions apportées ? Cette carte sera-t-elle à terme en capacité d’évoluer, en fonction des besoins qui pourraient survenir ?

Mme Anne-Gaëlle Baudouin-Clerc. Le fait d’avoir pu sortir cette CNIe en deux ans constitue une franche réussite. Cette carte respecte l’état de l’art de ce que nous pouvons attendre pour un titre sécurisé.

Le ministère de l’intérieur considère qu’il n’existe pas de sécurité unique mais plutôt un ensemble de sécurités incluses dans ce nouveau titre. Ce dernier constitue une protection supplémentaire pour lutter contre l’usurpation d’identité. Des sécurités physiques y ont donc été incluses, à un niveau qui n’avait jamais été atteint en la matière. Nous sommes donc très loin de la carte actuelle, qui a été élaborée en 1995. La carte se rapproche en revanche du titre de séjour dans sa dernière version, même si le niveau d’exigence en matière de sécurité a été renforcé.

L’apport majeur se situe dans l’introduction d’une puce contenant des données biométriques. Celle-ci contient à la fois les données prévues au titre du règlement de l’organisation de l'aviation civile internationale (OACI), conformément aux prescriptions communautaires, et l’identité numérique en tant que telle. L’application pourra ainsi être déverrouillée par un code PIN associé.

Quoi qu'il en soit, cette nouvelle carte n’aura rien à voir avec une simple copie des titres existants, en particulier le permis de conduire, qui ne comporte pas de puce. Ce dernier a d’ailleurs vocation à évoluer.

M. Philippe Latombe, rapporteur. La photo d’identité qui figurera sur le titre est en noir et blanc et provient d’une technologie américaine. Certains industriels français sont en capacité de fournir des photos en couleur. De plus, le cachet électronique visible (CEV) suivra la norme 101 et non 105, qui aurait pourtant permis des évolutions à terme.

Utilisons-nous les savoir-faire de nos industriels et les privilégions-nous dans la mise en place de ce titre ? En raison du caractère régalien du sujet, il serait en effet normal de recourir à des industriels français voire européens. Il en va également du rôle de l’État de soutenir sa filière, surtout lorsqu’il s’agit d’une filière d’excellence.

En raison de sa construction rapide, ce titre est-il en capacité d’évoluer à terme en fonction des nouveaux usages dont nous pourrions avoir besoin ?

Enfin, concernant la partie relative au titre physique, aucun appel d’offres n’aurait été lancé, en raison du monopole de l’Imprimerie nationale.

Mme Anne-Gaëlle Baudouin-Clerc. La loi garantie effectivement un monopole à l’Imprimerie nationale.

M. Philippe Latombe, rapporteur. Quel rapport entretenez-vous avec l’Imprimerie nationale sur ce sujet ? Est-ce vous qui définissez les besoins et l’Imprimerie nationale qui exécute ? Celle-ci dispose-t-elle d’une force de proposition vis-à-vis de vous ?

Mme Anne-Gaëlle Baudouin-Clerc. En la matière, l’État a fait en France un choix de souveraineté qui n’est pas unique au monde, même si d’autres modèles existent.

Une convention a été conclue entre l’agence et l’Imprimerie nationale. Cette convention détermine les objectifs que nous lui fixons en matière de sécurité, ainsi que les conditions tarifaires, les objectifs de production, les conditions de déploiement et le choix des industriels.

Nous avons fixé des objectifs de sécurité à l’Imprimerie nationale, en nous basant sur notre connaissance des phénomènes de fraude et à partir d’un dialogue avec les forces de sécurité intérieures. L’une de nos préoccupations était bien de nous laisser des possibilités d’évolution dans le temps, afin de pouvoir nous adapter aux nouvelles attentes.

En revanche, l’agence ne choisit ni les prestataires, ni les sous-traitants, ni les fournisseurs de l’Imprimerie nationale, qui doit faire ses propres choix en tant qu’industriel. Nous fixons simplement des objectifs et nous assurons qu’ils sont atteints. Pour sa part, l’Imprimerie nationale recourt de plus en plus à des appels d’offres concernant le choix de ses différents fournisseurs.

Le CEV constitue une innovation par rapport à la carte nationale d’identité actuelle. S’il est vrai que la norme 105 présente l’immense avantage d’offrir l’interopérabilité, elle a en revanche l’inconvénient d’être, pour l’instant, relativement mal reconnue par les différents lecteurs. La norme 101 s’avère ainsi nettement plus accessible et inclusive. C’est pour cette raison que nous l’avons privilégiée. Nous sommes toutefois conscients que nous aurons à un moment ou l’autre de bonnes raisons de la faire évoluer, même s’il est encore trop tôt pour se prononcer sur les conditions ou le calendrier. Il ne s’agit en tout cas pas d’un choix du passé mais plutôt d’une priorité donnée à l’inclusion et à l’accessibilité, en particulier sur le territoire national, qui concentre la majorité des usages de la carte.

Certains États ont opté pour des cartes d’identité avec des photos en couleur, d’autres non. Le noir et blanc présente en tout cas des avantages en matière de lutte contre la fraude. Ce choix est donc assumé et ne traduit en aucun cas un manque de maîtrise du système.

M. Philippe Latombe, rapporteur. Je me tournerai vers l’Imprimerie nationale pour comprendre pourquoi elle a fait appel à une technologie américaine, alors qu’il aurait été possible de faire aussi bien avec des prestataires français.

S'agissant de la CNIe, je n’ai toujours pas compris pourquoi l’Imprimerie nationale n’a lancé aucun appel d’offres.

Mme Anne-Gaëlle Baudouin-Clerc. Environ 70 % des composants de la carte ont donné lieu à des appels d’offres. Je pourrai vous confirmer le chiffre exact.

Le régime juridique de l’Imprimerie nationale l’autorise à déroger à certaines règles de la commande publique. L’État actionnaire souhaite toutefois voir augmenter la part de l’activité sous monopole donnant lieu à des appels d’offres.

M. Philippe Latombe, rapporteur. C’est donc bien l’ANTS qui a délibérément choisi de produire le cachet électronique selon la norme 101 et non 105, ou encore d’opter pour la photo en noir et blanc ?

Mme Anne-Gaëlle Baudouin-Clerc. Nous prenons en compte certaines contraintes industrielles, mais ces deux aspects ont fait l’objet d’un choix assumé. J’ai toutefois conscience que, pour l’Imprimerie nationale, le passage à la norme 105 aura des conséquences industrielles, notamment de modification de sa plateforme. À titre personnel, je pense en tout cas que la situation a vocation à évoluer. Ainsi, parvenir à utiliser la norme 105 pour le pass sanitaire présentera un véritable intérêt. Enfin, la norme 105 a besoin de conforter sa gouvernance, ainsi que de clarifier ses conditions de sécurité et de souveraineté.

M. Philippe Latombe, rapporteur. L’ANTS fait face à une forme de contraction de son personnel, entraînant une perte de compétences dans ce domaine. Êtes-vous à la recherche d’un chef de projet au sujet de la CNIe ? Vous trouvez-vous réellement sous pression en matière de personnel ? Disposez-vous de la capacité à attirer des talents présentant un profil d’ingénieur, afin d’être en mesure de pratiquer des activités telles que le sourcing ?

Mme Anne-Gaëlle Baudouin-Clerc. Le plafond d’emploi de l’agence a été revalorisé cette année de six ETP, afin de répondre aux enjeux auxquels nous sommes confrontés. Nous rencontrons des difficultés de recrutement, mais pas plus que la plupart des services de l’État. À ce sujet, nous nous sommes engagés dans une démarche de type « marque employeur », afin de mieux recruter et mieux conserver nos talents, pour pallier le fort turnover que connaît l’agence. S’il est vrai que notre cheffe de projet CNIe a annoncé qu’elle souhaitait partir, ce départ ne remet pas en cause la capacité de l’agence à mener à bien ses projets.

D’aucuns ont pointé du doigt le déséquilibre existant entre l’agence, qui compte environ cent quarante collaborateurs (hors support usagers) et l’Imprimerie nationale qui demeure l’un de nos interlocuteurs majeurs. Il est de notre responsabilité de structurer le dialogue entre ces deux entités, en gardant à l’esprit que l’agence est soutenue par le ministère de l’intérieur, lui permettant de mobiliser l’expertise disponible en matière de fraude sur les titres. L’agence ne doit donc pas être réduite à ses effectifs stricto sensu.

M. Philippe Latombe, rapporteur. Il existe deux types d’attractivité, celle liée à la « marque employeur » et celle liée à la rémunération. Avez-vous la capacité d’attirer des ingénieurs ou des profils techniques figurant parmi les meilleurs dans leur domaine ?

Existe-t-il à ce jour en France, dans la sphère publique, des talents spécialisés sur l’identité numérique, ou sont-ils massivement partis chez les industriels ?

Mme Anne-Gaëlle Baudouin-Clerc. La rémunération constitue un sujet sérieux. Nous sommes engagés dans des référentiels, en termes de compétences, dans le secteur du numérique, ce qui nous permet d’être plus proches des données du marché. Sur ce point, j’accorde une grande importance à tout ce qui a trait à la cybersécurité. Au sein de l’agence, nous sommes très clairement sous-dimensionnés pour ces questions. Le référentiel se trouve ainsi en décalage avec le marché.

En quelques mois, nous avons constaté une diminution du nombre de candidatures, bien que nous recourions à un chasseur de têtes pour notre recrutement. Sur un type de poste donné, nous avons reçu trois candidatures cette année, contre une trentaine l’année dernière. Cette tendance n’est pas liée à la « marque employeur », mais à la rémunération et à l’assèchement du marché, puisque tout le monde recrute en même temps. Ce sujet nous handicape fortement.

Mme Valérie Péneau. Sur la partie relative aux systèmes d’information, nous avons lancé un appel d’offres. L’offre française s’avère de qualité sur les différents lots que nous avons publiés.

La future carte d’identité sera dotée d’une puce embarquant une application d’identité numérique. Nous avons travaillé avec les industriels français pour définir les spécificités de cette puce. L’enjeu était de déterminer collectivement la technologie pouvant se retrouver de la façon la plus interopérable possible sur le marché déjà existant. Nous devions également réfléchir aux éléments qui pourraient évoluer de la façon la plus pertinente. Pour respecter le délai de deux ans, une première cible a alors été définie. Celle-ci est actuellement mise en place dans la carte.

Dans le contrat de filière signé en janvier 2020, nous travaillons avec les industriels français à la définition de la cible de la « puce V2 » de la future CNIe. Nous projetons ainsi de définir les spécifications avant la fin de l’année, avant de passer à la mise en œuvre technique, puis à la qualification par l’ANSSI. Au final, l’objectif est de sortir la deuxième génération de la CNIe d’ici 2024.

La future application d’identité numérique intégrée pratiquera nativement la divulgation sélective d’attributs, alors que cette dernière nécessite pour l'instant d’être opérée séparément. L’application pourrait également traiter la question des pseudonymes. Tous ces sujets font l’objet d’un travail partenarial avec les industriels français. Nous souhaitons en effet que l’identité numérique régalienne repose sur des technologies françaises. Les industriels ont par ailleurs vocation à porter à l’étranger ces technologies et approches nationales.

Le recrutement s’avère effectivement compliqué, d’autant que l’identité numérique requiert des compétences extrêmement pointues, dont le marché n’abonde pas. J’ai toutefois la chance de disposer d’une équipe de grande qualité, qui s’est constituée au fur et à mesure. Celle-ci se compose à la fois de fonctionnaires et de contractuels, que l’agence nous a aidés à recruter. Les membres de mon équipe restent quant à eux en poste par passion pour le projet, car il est vrai qu’assez peu d’entre eux ont déjà eu l’occasion de travailler sur une future application grand public touchant à l’identité et au régalien. Ces personnes sont donc passionnées par le projet et ne nous restent pas fidèles pour des questions de rémunération.

Le référentiel ne semble plus du tout à la hauteur des enjeux ni de nos besoins. Ainsi, si nous souhaitons conserver une capacité de pilotage et de maîtrise des prestataires, nous devons disposer des compétences adéquates, ce qui représente un combat quotidien.

M. Philippe Latombe, rapporteur. Nous avons auditionné des membres des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), qui disposent d’une assez puissante capacité de lobbying. Il leur arrive ainsi de payer le prix fort pour recruter des talents et ensuite les utiliser dans un cadre commercial. Ces personnes qui ont quitté vos équipes pour rejoindre les industriels, les retrouvez-vous sur le projet ?

Mme Valérie Péneau. S'agissant de mon projet, nous nous trouvons en phase de recrutement. Une personne risque certes de nous quitter mais elle part rejoindre une autre agence de l’État et non un GAFAM. Il peut donc parfois exister de la compétition en interne, même si nous ne pouvons pas nous opposer aux évolutions de carrière. Quoi qu'il en soit, mon équipe n’a subi aucun détournement d’expertise au profit des GAFAM, même si sa taille reste réduite.

M. Philippe Latombe, rapporteur. En évoquant les GAFAM, je pensais également à d’autres industriels spécialisés sur le sujet.

Mme Valérie Péneau. Le programme a au contraire attiré des experts en provenance d’industriels. Deux d’entre eux nous ont ainsi rejoints car le projet les passionnait.

M. Philippe Latombe, rapporteur. S’agit-il plutôt de contractuels ?

Mme Valérie Péneau. Mon équipe se compose d’une majorité de contractuels, ainsi que de deux fonctionnaires.

Mme Anne-Gaëlle Baudouin-Clerc. Nous recrutons très largement des contractuels, dont un grand nombre provient du monde industriel. Une certaine concurrence peut également exister entre les différents ministères.

M. Philippe Latombe, rapporteur. L’année dernière, les députés ont adopté une loi interdisant l’accès aux sites pornographiques aux mineurs. Le CSA demande donc que des preuves de majorité soient données pour accéder à ces sites. La même question pourrait se poser pour la vente d’alcool ou de produits interdits aux mineurs. Or pour l’heure, nous ne disposons pas d’une identité numérique. Cette dernière n’arrive-t-elle donc pas un peu tard ? Embarquera-t-elle tous les usages possibles et imaginables dont l’invention humaine pourrait à terme avoir besoin ? En d’autres termes, disposez-vous d’une capacité d’évolution rapide ? Comment pourra-t-on ainsi justifier son âge sur internet ? L’identité numérique offrira-t-elle la possibilité de voter à distance d’ici cinq ou dix ans ? Certains pays comme l’Estonie ont déjà intégré cette fonction.

Mme Valérie Péneau. L’identité numérique transmet uniquement des données, dans le but de prouver une identité. La divulgation sélective des attributs est effectivement envisageable, en particulier l’âge. En attendant, nous devrons d’abord être en capacité de délivrer une première application, avant de la faire évoluer par la suite.

Grâce à la composante logicielle, il est tout à fait envisageable de faire évoluer le projet afin de l’adapter aux différents usages, à condition de disposer d’un cadre juridique et d’un haut niveau de sécurité. Rien ne s’opposera alors à ce que l’identité numérique soit interfacée avec un système de votation. Un tel système est d’ailleurs prévu concernant les élections professionnelles ainsi que le vote des Français de l’étranger. Je pense que le Conseil constitutionnel devra toutefois se prononcer sur cette évolution.

Le sujet des mineurs présente une complexité, tant sur le plan technique que juridique. Il existe par exemple des âges de majorité différents selon les sujets. La loi pour une République numérique a ainsi fixé à quinze ans la majorité numérique pour les services issus de la société de l’information mais pas pour les services publics. D’autres textes plus récents font état d’âges évolutifs. Sur la partie pénale également, l’âge présente un caractère variable. Il est donc difficile de construire des parcours totalement évolutifs avec l’âge.

Tant que le mineur est considéré comme tel pour une activité donnée, ce dernier doit obtenir le consentement du détenteur de l’autorité parentale. La création et l’usage de l’identité numérique d’un mineur ne pourront pas échapper à cette règle. Une telle mesure n’est pourtant pas facile à implémenter sur le plan technique, car il est nécessaire de recueillir à la fois l’identité numérique des détenteurs de l’autorité parentale et celle des mineurs. Nous finirons par y parvenir mais la première offre sera d’abord dédiée aux majeurs.

Si nous parvenons à passer le cap de la création d’identité numérique au bénéfice de mineurs, le fournisseur de service sera informé de façon sécurisée concernant l’âge de son utilisateur. Cette mesure est possible sur le principe et tout reste envisageable concernant les usages, même si certaines difficultés juridiques et techniques doivent être résolues. Les perspectives s’annoncent ainsi considérables et la cadence devra s’accélérer, afin d’articuler cette première identité sécurisée avec les titres d’identité.

Mme Anne-Gaëlle Baudouin-Clerc. Au sujet de la preuve de majorité, nous sommes en train d’étudier la possibilité d’utiliser le CEV sans attendre la mise en place de l’identité numérique. Cette solution éviterait ainsi de devoir montrer l’ensemble de sa carte. La question fait en tout cas l’objet d’un travail approfondi.

M. Philippe Latombe, rapporteur. L’ANTS se situe en dehors du ministère, ce qui ne l’empêche pas d’entretenir de forts liens avec celui-ci. Cette agence fonctionne en mode projet complet sur la question de l’identité numérique. Êtes-vous le seul organisme à fonctionner de la sorte au sein de l’État ? Ce mode de fonctionnement apparaît nouveau. Vous apporte-t-il un vrai plus pour faire avancer le projet le plus vite possible et ne pas répéter les erreurs du passé ?

Mme Valérie Péneau. Je ne sais pas si beaucoup d’autres projets sont managés de cette façon au sein de l’État, car je n’ai pas réalisé de benchmark en la matière.

Mon expérience en tant qu’inspectrice générale de l’administration m’a appris que lorsqu’un système d’information dysfonctionne, une task force est créée pour tenter de rattraper le retard. Un mode industriel classique est alors abandonné, pour concentrer des expertises et adopter un mode opératoire permettant de réactiver un projet et d’enclencher une accélération.

En l’espèce, la task force a été constituée en amont du projet, avec un rassemblement d’expertises en provenance à la fois de l’ANTS et du ministère de l’intérieur. Ces forces ont été placées sous mon autorité fonctionnelle. Ce mode de fonctionnement est particulièrement adapté à un projet numérique, rapprochant de façon très nette la maîtrise d’ouvrage et la maîtrise d’œuvre.

La difficulté du projet réside dans la complexité technique du sujet, avec tous les aléas y étant associés. Il existe également une forte interférence avec d’autres acteurs, notamment FranceConnect, qui demeure l’écosystème dans lequel nous nous insérons. Les usages sont quant à eux en cours de définition et concernent l’ensemble des sphères publique et privée. Ainsi, ce rapprochement très étroit entre maîtrise d’ouvrage et maîtrise d’œuvre permet, selon un calendrier beaucoup plus restreint, d’accélérer le projet ainsi que la traduction concrète des fonctionnalités attendues.

L’accomplissement de notre mission n’est pas simple, car elle implique des interactions continues avec l’ensemble des parties prenantes du projet, au sein de ministère de l’intérieur comme de l’écosystème interministériel. La direction de programme est ainsi chargée du bon fonctionnement du projet.

Nous disposons également d’un comité de pilotage interministériel regroupant l’ensemble des ministères concernés, ainsi que la direction générale des entreprises (DGE), la direction interministérielle de la transformation publique (DITP) et l’ANSSI. La direction de programme parvient ainsi à fédérer l’ensemble des intérêts et des parties prenantes au projet. Dans le même temps, elle essaie de limiter au maximum le risque lié à la conduite d’un projet technique, pour lequel le calendrier est très tendu et les attentes sont extrêmement fortes. Au final, tous ces éléments justifient une telle organisation, au moins pendant quelque temps.

La direction de programme n’a toutefois pas vocation à perdurer. Par conséquent, une fois que le projet aura été stabilisé, il retrouvera probablement une gestion, une gouvernance et une organisation nettement plus classiques. Le mode de fonctionnement actuel correspond en effet à un temps politique et technique très particulier.

M. Philippe Latombe, rapporteur. Selon vous, où sera logé le programme une fois que le projet sera achevé ?

Mme Valérie Péneau. Il s'agit d’une excellente question à laquelle je ne peux pas apporter de réponse. En raison des liens très forts existant avec les titres d’identité, je suis en tout cas persuadée que la relation avec le ministère et avec son opérateur perdurera.

Ce moyen d’identification étant destiné à prendre place dans un écosystème interministériel, je pense qu’une gouvernance adaptée est amenée à durer pendant un certain temps. À ce titre, cet objet ne peut demeurer uniquement l’apanage du ministère de l’intérieur, même si j’estime, à titre personnel, que nous sommes en train de construire un service public. Étant donné que nous aidons les citoyens à prouver leur identité dans le monde physique, nous devons également leur offrir un moyen de faire de même dans le monde numérique, qui est devenu le lieu où se déroulent la majorité des interactions.

Selon moi, ce service public a plutôt vocation à être placé du côté du ministère de l’intérieur. Pour les usages quotidiens, toutefois, nous devrons conserver cette gouvernance interministérielle. Quoi qu'il en soit, la question devra se poser à l’avenir.

M. Philippe Latombe, rapporteur. Je souhaite à présent que nous abordions la question du marché de l’identité numérique.

Mme Valérie Péneau. J’émets certaines réserves concernant l’expression « marché de l’identité numérique », car il convient de différencier plusieurs éléments.

En premier lieu, l’État a la responsabilité de protéger les données d’identité de ses citoyens, en lien avec ses missions régaliennes ou relatives à la souveraineté. Ce point se rapporte à ses responsabilités en matière d’état civil et ce depuis la Révolution française.

En parallèle, l’État se doit également de sécuriser l’accès à ses propres services publics, ces éléments entrant dans la sphère des prérogatives de la puissance publique. En ce qui me concerne, je pense que l’accès aux services publics et l’identité numérique permettant d’y accéder sont liés à la notion de service public.

La question de l’accès aux services privés se pose ensuite. Dans ce cadre, les informations revêtent une véritable valeur, que les banques monétisent dans le cadre des KYC (know your customer). Ces éléments relèvent sans doute de données de marché.

Pour autant, il me semble qu’il n’est pas encore possible d’affirmer qu’il existe un marché de l’identité numérique, car sa maturité est encore en construction. Nous avons à ce propos mené des études avec des cabinets de consultants, pour tenter de préciser le modèle économique de ce marché de l’identité numérique. Une étude d’Ernst and Young sur le sujet a ainsi été transmise à la mission parlementaire. Cette étude fait état d’un potentiel de développement économique mais dans des proportions encore limitées.

À partir du moment où l’identité numérique en tant que telle repose sur des titres d’identité, c'est-à-dire la constitution d’un moyen d’identification électronique, celle-ci n’apparaît pas comme une source de marché évidente.

Plusieurs dispositifs existent en France. Notre environnement correspond par exemple aux moyens d’identification électroniques dans le cas d’une identité numérique reliée à FranceConnect. En parallèle, le nouveau référentiel d’exigences applicables aux prestations de vérification d’identité à distance (PVID) de l’ANSSI définit des modalités de vérification d’identité à distance. Celui-ci s’adresse aux acteurs de confiance, sera bientôt « embarqué » par les banques et correspond au marché de la vérification d’identité. Ce dernier est amené à croître, notamment au bénéfice des banques. Quant à elles, les banques se trouvent à cheval entre, d’un côté, des acteurs tiers pour vérifier à distance l’identité de leurs usagers et, de l’autre, l’écosystème FranceConnect, auquel la plupart d’entre elles sont déjà rattachées. La mise en place d’une identité numérique sécurisée pourrait donc les intéresser.

À ma connaissance, l’écosystème FranceConnect n’a pas encore complètement été stabilisé. Le principe défini suppose en tout cas que toutes les identités numériques permettant d’accéder à des services publics soient gratuites. En revanche, l’accès aux services privés connectés à FranceConnect obéit à une forme de marché. Sur ce point, il me semble que les fournisseurs d’identité privée, qui demeurent peu nombreux, pourront librement fixer leurs tarifs. Le sujet de la gratuité du moyen d’identification électronique régalien au bénéfice des acteurs privés n’a en revanche pas encore été tranché.

Les situations varient sensiblement d’un État à l’autre. Au sein du modèle anglais, par exemple, il a été constaté que le marché était insuffisant pour permettre à des acteurs privés de vivre correctement. D’autres modèles s’orientent plutôt vers une forme de partenariat public-privé, avec des redevances ou des indemnisations croisées n’atteignant pas des sommes considérables. Le seul modèle véritablement éprouvé demeure le scandinave, selon lequel les banques produisent nativement l’identité numérique. Ce modèle diffère du nôtre.

En matière d’identité numérique, la légitimité de l’État s’avère donc plus ou moins importante en fonction des cultures. Celle-ci demeure globalement assez forte, comme c’est notamment le cas en Suisse. Cette tendance a également été mise en évidence par le rapport de la mission parlementaire, qui fait état d’une certaine confiance de la part des citoyens envers l’État pour fournir cette brique d’authentification appuyée sur les titres d’identité dans le monde numérique.

Ce sujet fait l’objet d’interrogations depuis trois ans. Peu d’acteurs privés existent dans FranceConnect, peut-être parce que le modèle économique n’est pas encore complètement défini. Toujours est-il que l’identité numérique implique de lourds investissements, alors même que, dans le modèle actuel, le retour sur investissement n’est pas complètement garanti.

M. Philippe Latombe, rapporteur. Vous avez indiqué que les citoyens considèrent que l’État est le plus à même de s’occuper des questions relatives au domaine de l’identité. Percevez-vous toutefois une réticence de la part de certains citoyens français à confier leurs éléments biométriques à l’État dans l’optique que celui-ci les intègre dans un titre d’identité, qui ferait ensuite office d’identité numérique ? Comment évolue la situation sur ce point ?

Mme Valérie Péneau. Il est vrai qu’il peut parfois exister des contradictions chez nos concitoyens. Ainsi, alors même que les sondages font état d’une plus grande confiance dans l’État que dans les acteurs privés ou commerciaux pour garantir les données d’identité, des réticences apparaissent chez une partie de la population à propos de la transmission de ses données biométriques.

Pour rappel, dans le système Alicem, les données biométriques ne servaient qu’à vérifier l’identité au moment de la création de l’identité numérique et n’étaient par la suite jamais redemandées. Ce principe a pourtant suscité certaines confusions.

À ce stade, il est possible de pratiquer l’identité numérique sans recourir à la biométrie. Des parcours permettent ainsi de créer l’identité numérique et de la faire vivre par la suite, sans pour autant recourir à la vérification d’identité à distance et donc à la biométrie. En effet, cette dernière s’apparente à la comparaison entre une vidéo ou un selfie pris par la personne et la puce se trouvant dans le titre.

La carte d’identité actuelle intègre nativement les données biométriques de l’usager. Cependant, la partie de la puce en charge de la création de l’identité numérique ne contient pas de données biométriques, seulement des données alphanumériques.

Mme Anne-Gaëlle Baudouin-Clerc. Les données biométriques sont spécifiquement protégées en tant que telles. Nous nous sommes d’ailleurs assurés de l’effectivité de cette protection à travers un audit de sécurité ayant été conduit avant le lancement de la carte. De plus, l’accès à ces données demeure par principe réservé aux autorités publiques.

M. Philippe Latombe, rapporteur. Une partie de nos concitoyens craint la mise en place conjointe d’une CNIe contenant des données biométriques et d’une identité numérique, le tout couplé à du fichage et éventuellement à de la reconnaissance faciale. Sentez-vous cette crainte monter, à l’image de l’opposition à la 5G ? Les usages pourront-ils montrer que ces craintes sont infondées et ainsi remporter l’adhésion de la population ? Comment appréhendez-vous le lancement de l’identité numérique ?

Mme Valérie Péneau. Depuis le début, nous sentons effectivement qu’un travail de conviction et de pédagogie sera nécessaire.

L’application Alicem nous a permis de monter en maturité de façon considérable. L’un de ses intérêts a notamment été de pouvoir immédiatement constater les réactions qu’elle a suscitées. Nous avons également pu nous rendre compte des limites du modèle de cette identité numérique, qui avait initialement été conçue comme un prototype. Cette approche initiale était en tout cas parfaitement justifiée par l’objectif de l’époque.

En définitive, projeter un objet nativement conçu dans un but de vérification d’identité à distance (donc autour de la reconnaissance faciale) et dont seule la sécurité est valorisée n’apparaît pas être la meilleure porte d’entrée vers l’identité numérique sécurisée.

De plus, il existe une très forte confusion concernant les usages de la technologie faciale. Cette confusion se situe entre l’usage à des fins d’identification dans l’espace public pour des raisons sécuritaires et l’usage dans un but d’authentification, qui n’ont rien à voir entre eux. En effet, l’authentification reste à la main de l’usager et se base uniquement sur le titre plutôt que sur un fichier central. La commission nationale de l'informatique et des libertés (CNIL) a clairement affirmé cette distinction mais la subtilité demeure mal comprise.

Par conséquent, nous pensons qu’il est préférable de commencer par offrir des parcours n’obligeant pas les utilisateurs à recourir à cette technologie, qui suscite certaines inquiétudes. En parallèle, il serait intéressant de ne pas immédiatement recourir à l’authentification renforcée pour certains usages du quotidien comme la preuve de la majorité dans le monde physique, avant d’entrer dans l’identité numérique sécurisée.

L’État doit également adopter une approche un peu différente. Nous avons ainsi demandé à nos prestataires d’utiliser des briques open source, dans un souci de transparence. À l’inverse, Alicem était protégée par des licences. Nous avons donc souhaité adopter une approche plus progressive et plus itérative. Dans cette optique, nous avons recruté des UX designers afin de recueillir régulièrement les retours des utilisateurs.

À l’avenir, ce seront les usages qui porteront l’identité numérique. Ceux-ci demeurent encore relativement peu nombreux, puisque la solution n’est pour le moment pas disponible. Lors de sa sortie, j’espère qu’elle ne fera pas l’objet d’un rejet, par exemple parce que la technologie serait mal supportée ou en raison de l’existence de présupposés sur un éventuel traçage. Or un tel traçage n’est pas du tout prévu et il ne serait de toute façon pas possible. Le but est au contraire que la solution soit largement déployée dès que les usages seront prêts.

M. Philippe Latombe, rapporteur. La souveraineté technologique, française ou européenne, constitue-t-elle l’un des moteurs de votre projet ? Allez-vous totalement l’intégrer dans le projet, quitte à exclure des solutions américaines qui pourraient poser question ?

Mme Valérie Péneau. Ma réponse est très clairement positive. En effet, lors de la formulation du cahier des charges de notre système d’information, nous avons veillé à ce qu’aucune licence ne devienne la propriété d’acteurs privés français ou européens.

Dans ce cahier des charges, nous avons également intégré l’application native du Règlement général sur la protection des données (RGPD), auquel sont soumis l’ensemble des acteurs européens et français.

Avec les acteurs français, nous définissons les spécificités de la puce de demain. La souveraineté fait ainsi partie intégrante du projet. Je pense d’ailleurs que la souveraineté numérique est un sujet éminemment régalien et même national. En effet, les schémas notifiés par les États correspondent à des pratiques administratives qui leur sont propres, selon qu’ils disposent ou non de registres de population ou d’identifiants uniques. Au final, chaque schéma est d’ordre national, même s’ils se doivent d’être interopérables au niveau européen.

Lors du discours de l’Union, la présidente de la Commission européenne a soumis l’idée d’une identité européenne, qui a ainsi été intégrée aux discussions de révision du règlement eIDAS. Cette idée suscite de fortes interrogations, car nous ne disposons d’aucune définition précise de ce que représenterait cette identité européenne au-delà de l’interopérabilité de nos dispositifs. La Commission devra donc expliciter ce point, alors que la révision du règlement eIDAS a été reportée. Quoi qu'il en soit, cette question fera l’objet d’importants travaux dans les prochains mois, peut-être au moment de la présidence française. L’un des enjeux sera de définir l’articulation avec les schémas nationaux, ainsi que d’aborder le sujet de la souveraineté nationale.

M. Philippe Latombe, rapporteur. La souveraineté technologique figure-t-elle parmi les critères principaux de l’ANTS ? Plutôt que de recourir à une technologie américaine proposant une photo en noir et blanc, ne pourriez-vous pas inclure d’autres solutions au cahier des charges que vous tenez avec l’Imprimerie nationale ?

Mme Anne-Gaëlle Baudouin-Clerc. Nos projets doivent apporter les garanties en matière de sécurité informatique et être en conformité avec le cadre français et européen. J’ai conscience que nous devons encore globalement progresser dans leur conduite, ainsi que sur les questions de propriété numérique au sens large, qui ne figurent pas encore au centre de nos préoccupations. Des évolutions devront donc être intégrées.

M. Philippe Latombe, rapporteur. De manière générale, les industriels préfèrent que l’État soit leur client plutôt que de recevoir des aides de sa part.


—  1  —

Audition commune, ouverte à la presse, de MM. Rodolphe Belmer, directeur général d’Eutelsat, et Hervé Derrey, président-directeur général de Thales Alenia Space)
(6 avril 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Je remercie M. Rodolphe Belmer, directeur général d’Eutelsat, qu’accompagne M. David Bertolotti, directeur des affaires publiques de cette société, et M. Hervé Derrey, président-directeur général de Thales Alenia Space, d’avoir accepté de participer à nos travaux.

L’espace extra-atmosphérique donne lieu à des confrontations croissantes. Deux phénomènes principaux s’y révèlent à l’œuvre.

Il s’agit d’abord d’une tendance à la privatisation. Dans ce qu’il est convenu d’appeler le new space, elle se traduit par l’irruption d’acteurs privés innovants, tel SpaceX. Ils remettent en cause les fondamentaux de certains marchés, comme celui du lancement de satellites, et se positionnent en matière de connectivité par satellite.

Les grandes puissances étatiques inclinent ensuite à accaparer l’espace. Face aux initiatives des États-Unis et de la Chine, l’Europe entend se doter de sa propre constellation de satellites. Le commissaire européen au marché intérieur, M. Thierry Breton, le rappelait encore récemment.

Thales Alenia Space, entreprise notamment spécialisée dans la construction de satellites, et Eutelsat, opérateur de satellites commerciaux, sont parties prenantes de l’action de l’Europe. Le satellite de télécommunications géostationnaire Eutelsat Konnect, opérationnel en orbite depuis novembre 2020, illustre cette action.

M. Philippe Latombe, rapporteur. J’évoquerai trois sujets sur lesquels nous souhaiterions vous entendre.

D’une part, nous apprécierions que vous présentiez votre secteur d’activité, en proie à de profonds bouleversements. Apparus depuis plusieurs années, ceux-ci se manifestent désormais avec prégnance. Ainsi que le rappelait M. le président, les grandes puissances investissent toujours davantage l’espace extra-atmosphérique, quand les acteurs privés y font irruption, d’une façon inédite par son ampleur. Comment la France et l’Europe peuvent-elles ici défendre leurs intérêts et leur souveraineté ? Voulez-vous nous exposer brièvement le projet de constellation européenne, que porte M. le commissaire Thierry Breton et que M. le président évoquait dans son introduction ?

D’autre part, nous aimerions approfondir les enjeux d’innovation, voire de rupture technologique, qui animent votre secteur d’activité. Comment, en particulier, jugez-vous le niveau de soutien aux entreprises spatiales en France et en Europe, tant de la part des pouvoirs publics qui en subventionnent l’effort de recherche, que du marché qui doit permettre aux entreprises innovantes de se financer ? Formulez-vous des propositions en vue de mieux appuyer le développement de ces entreprises ? Nous aimerions également savoir s’il existe d’autres segments technologiques où des ruptures majeures devraient intervenir dans les prochaines années. Le cas échéant, comment faut-il que nous nous y préparions ?

Enfin, au cœur de la réflexion de la mission d’information, nous ouvrons une séquence sur la formation. Pourriez-vous nous dire quelle est votre évaluation des formations aux métiers du spatial en France et en Europe ? Avez-vous connaissance de pratiques ou de dispositifs dont nous tirerions avantage à nous inspirer ?

M. Rodolphe Belmer, directeur général d’Eutelsat. Eutelsat est un opérateur de télécommunications par satellites. Notre métier consiste à apporter des services de télécommunications dans le monde entier, là où les opérateurs terrestres éprouvent des difficultés à offrir les leurs. Il peut s’agit de zones géographiques à très faible densité de population ‒ zones dites de déserts numériques ‒, ou de zones inaccessibles par nature aux télécommunications terrestres, tels que l’espace aérien pour les avions en vol ou la pleine mer pour les navires.

Quoique peu connue du grand public, la société Eutelsat représente, avec près d’1,3 milliard d’euros de chiffre d’affaires, le troisième opérateur mondial de son secteur. Elle compte 1 200 employés. Modeste en comparaison de son chiffre d’affaires, son effectif atteste de la forte valeur ajoutée de son activité. Plus que le nombre, celle-ci requiert une ressource extrêmement qualifiée et spécialisée. J’y reviendrai au sujet de la formation que vous avez abordée dans vos questions.

En outre, l’organisation d’Eutelsat s’avère des plus ouvertes à l’internationalisation. Plus de cinquante nationalités la composent. Son siège se situe en France, à Issy-les-Moulineaux, où il vient de s’installer. Son principal téléport, ou lieu de réception des signaux produits par sa flotte de satellites, se trouve à Rambouillet, en région parisienne.

À ce jour, Eutelsat exploite une quarantaine de satellites dits géostationnaires. De taille importante, d’un poids de cinq à six tonnes en moyenne, ces satellites évoluent à 36 000 km d’altitude, en orbite autour de la Terre, selon une vitesse de rotation qui lui est identique. Ils demeurent donc à une position fixe par rapport à la surface du sol. Une telle fixité facilite les services de télécommunication.

Eutelsat est présente dans 150 pays.

Historiquement, notre cœur de métier consiste en la diffusion de chaînes de télévision. Premier acteur mondial à égalité de cette activité vectrice d’information, de culture et de divertissement, nous distribuons 7 000 chaînes de télévision. Grâce aux satellites, environ un quart de la population mondiale les reçoit.

Depuis quelques années, notre activité prend un nouvel essor. Au-delà de la télévision, elle s’adresse de plus en plus au marché de la connectivité. Dorénavant, la promesse devient celle de l’Internet accessible en tous lieux, y compris là où les opérateurs terrestres ne peuvent, pour des raisons physiques ou économiques, le proposer.

En conséquence, nous avons engagé avec nos partenaires une stratégie d’innovation et d’investissement. Il s’agit de financer les infrastructures de télécommunications spatiales à mêmes de fournir des services Internet de haute qualité à un prix acceptable aux populations des zones où les opérateurs terrestres ne parviennent pas à se rendre.

Je reprendrai un exemple que vous avez cité dans votre introduction. Nous avons récemment mis en orbite le satellite Konnect. Notre partenaire Thales Alenia Space en a assuré la fabrication, Arianespace s’est occupée de son lancement. Il permet de proposer à nos concitoyens un service Internet performant, distribué par la société Orange, d’une capacité de connexion de 100 mégabits par seconde (Mb/s). Son prix mensuel de 39,90 euros équivaut aux offres de télécommunications terrestres. De ce point de vue, une initiative de bout en bout française contribue à réduire la fracture numérique sur notre territoire. Rassemblée dans toute sa chaîne de valeur, l’industrie française a ici produit un service assurément innovant et utile.

Je répondrai maintenant à vos questions.

Sur les aspects de souveraineté, de perturbation de notre secteur d’activité et de stratégie d’innovation, il faut à l’évidence reconnaître une profonde évolution de notre champ concurrentiel. Ainsi que je le signalais, le marché des opérateurs de télécommunications par satellites se déplace vers les enjeux de connectivité. Les dernières générations de satellites sont en mesure de connecter à l’Internet de haut débit et à des prix compétitifs, tant dans les pays émergents que dans les pays développés, de vastes segments de population qui ne l’étaient pas. Étendu, le marché qui s’ouvre répond à un besoin indéniable et d’une importance cruciale. Il suscite bien des convoitises.

De nouveaux acteurs apparaissent. Forts d’investissements puissants, ils font montre d’une ambition marquée. Ils s’efforcent de capter la demande universelle de connexion par les satellites. La situation de concurrence exacerbée favorise sans conteste l’innovation et la qualité du service proposé. Ma remarque vaut évidemment bien au-delà des seules frontières françaises.

Au regard de la souveraineté nationale et européenne, la difficulté s’avère de deux ordres.

En premier lieu, les services de connectivité proviendront toujours plus d’un nouvel outil, les constellations en orbite basse.

Pour l’heure, comme la plupart de ses concurrents, Eutelsat utilise de volumineux satellites géostationnaires, éloignés du sol et fixes par rapport à lui. Appelée à s’y substituer, la technologie des constellations en orbite basse arrive progressivement à maturité. Elle repose sur une approche toute différente. Les satellites évoluent alors beaucoup plus près de la Terre et tournent autour d’elle. Dans ce cas, apporter un service constant suppose de couvrir l’orbite d’un nombre élevé de satellites. De flottes de quelques dizaines de gros satellites, nous passons à une logique de centaines, voire de milliers ou même de dizaines de milliers d’objets en orbite basse.

En comparaison du système géostationnaire, le léger avantage de l’orbite basse tient à la latence. Recevoir un signal d’un satellite géostationnaire nécessite 0,4 seconde ; pour un satellite en orbite basse ou très basse, la communication devient quasiment instantanée, de l’ordre de 10 ou 14 millisecondes. Elle équivaut à celle de la fibre optique.

Son inconvénient majeur réside dans le fait que les constellations en orbite basse n’excéderont pas un nombre fort restreint. Le spectre des fréquences qu’elles utilisent s’avère en effet lui-même contraint par nature. Quoiqu’elle puisse être amenée à évoluer encore, l’estimation la plus communément admise aujourd’hui prévoit un maximum de cinq ou six constellations. Au-delà, l’orbite atteindra son niveau de saturation.

L’espace des constellations en orbite basse étant limité, ou « fini », il en résulte que les positions à y prendre deviennent rares, donc onéreuses. Les acteurs nord-américains, dont SpaceX d’Elon Musk, Amazon de Jeff Bezos avec Project Kuiper et la société canadienne Telesat, les Anglais avec OneWeb, ainsi que les Chinois, se préparent à occuper des positions dans l’orbite basse. La place des Européens se réduit, voire est menacée. Nous ne pouvons en effet exclure que l’ensemble de l’espace de l’orbite basse fasse l’objet d’une captation par des puissances non européennes.

En second lieu, l’attention doit porter sur le financement des opérations que je viens de décrire. À ce stade, vous pourriez vous interroger sur la raison pour laquelle Eutelsat, un des chefs de file mondiaux d’une activité rentable, ne développe pas directement sa propre constellation en orbite basse.

La réponse renvoie au coût extrêmement élevé des objets en orbite basse. La mise au point d’une constellation en orbite basse suppose un investissement d’environ 5 milliards d’euros en moyenne. En regard de notre chiffre d’affaires, que je vous ai précédemment indiqué, la disproportion est flagrante. Un investissement de cette envergure ferait peser un poids économique et un risque commercial beaucoup trop lourds sur une société de la taille d’Eutelsat. Elle ne peut, en l’état, mener seule une telle entreprise.

En comparaison, nos concurrents y parviennent grâce au soutien massif de leurs institutions nationales, en particulier celles des États-Unis d’Amérique. Outre qu’elles portent la marque de l’incontestable dynamisme entrepreneurial de l’industrie américaine, les initiatives d’Elon Musk, Starlink pour les constellations en orbite basse et SpaceX pour les lanceurs, bénéficient du soutien déterminé et coordonné des institutions de ce pays à son industrie spatiale. Ce soutien permet ici au promoteur des initiatives de prendre une position clé dans le domaine des fréquences et de l’orbite basse.

Trois agences américaines contribuent à leur financement : celle de l’armée, la Defense Advanced Research Projects Agency (DARPA, l’agence du département de la défense), la National Aeronautics and Space Administration (NASA, l’agence fédérale en charge du programme spatial civil) et la Federal Communications Commission (FCC, commission fédérale des communications) avec son programme de réduction de la fracture numérique aux États-Unis. Elles y contribuent à hauteur de plusieurs milliards de dollars. Leur engagement témoigne de la perception, par la puissance publique, de ce pays de l’importance des nouveaux systèmes que nous évoquons et de la nécessité d’en financer puissamment la mise en œuvre.

Pour la Chine, du fait de données publiques moins accessibles, les avancées n’apparaissent pas avec la même évidence. Cependant, tant les déclarations de ses autorités que les échanges avec nos interlocuteurs et pairs Chinois montrent une volonté non moins marquée de déployer les nouveaux systèmes.

Pour sa part, Eutelsat prend activement part au consortium dont la Commission européenne a encouragé la création. Communément, ce projet spatial reçoit souvent le nom de son principal instigateur, le commissaire Thierry Breton. Il poursuit pour objectif de développer une constellation de satellites propre à l’Union européenne ou, au moins, d’identité européenne. Par rapport à ses concurrents, il introduirait une logique novatrice de systèmes complexes mêlant orbites basse, haute et moyenne.

Sans rien augurer, les réserves à formuler tiennent ici à la célérité des décisions et à la portée des projets de l’Union européenne, qui ne s’avèrent pas toujours conformes aux exigences des marchés des techniques de pointe. Ceux-ci se caractérisent par la rapidité de l’innovation et l’ampleur des moyens engagés. Il convient de ne le pas perdre de vue.

M. Hervé Derrey, président-directeur général de Thales Alenia Space. Complémentaires, mes propos s’inscriront à la suite de ceux qui viennent d’être tenus. Je partage une vision et une analyse équivalentes de la dynamique qui anime actuellement notre marché.

Je reviendrai d’abord sur certains fondamentaux de l’industrie spatiale. Ils préexistaient à l’émergence des nouvelles constellations de satellites en orbite basse.

À l’évidence, notre marché est celui d’une très haute technologie. Par essence, il revêt un double caractère institutionnel et stratégique. Les États, en particulier les États-Unis, la Chine, mais également la Russie, le financent de manière significative. Nos concurrents y jouissent de soutiens institutionnels et législatifs majeurs. Je pense par exemple au Buy american Act (« loi achetez américain ») de 1933 ou à la législation relative au commerce international des armes (International Traffic in Arms Regulations, ITAR) qui favorisent l’industrie nationale.

À ce jour, environ 50 États possèdent des infrastructures spatiales. Un nombre croissant d’entre eux se dotent de moyens autonomes de production. Bien que la France et l’Union européenne reconnaissent l’espace extra-atmosphérique comme un domaine important, voire stratégique, les budgets qu’elles y consacrent demeurent faibles en comparaison de ceux d’autres pays. Sous l’angle de la dépense par habitant, nos budgets dédiés à l’Espace ne nous placent qu’au quatrième rang mondial. Pour donner un ordre de grandeur, celui des États-Unis s’avère cinq fois supérieur, ceux de la Russie et du Japon respectivement trois fois et deux fois plus élevés.

Nos concurrents internationaux dépendent du marché commercial et de la compétition qui s’y livre pour environ 20 % de leur chiffre d’affaires. Ils bénéficient par ailleurs du financement de programmes institutionnels à hauteur de 80 % de ce même chiffre. En Europe, les équilibres se situent plutôt de l’ordre de 50 % en provenance du marché compétitif, l’autre moitié de celle du marché institutionnel.

Dans cet environnement, l’élément nouveau consiste, comme il a été dit, en l’apparition assez massive du secteur privé. C’est le cas de SpaceX, entité présente à la fois sur le segment des lanceurs et sur celui des satellites avec Starlink, ainsi que des GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et notamment d’Amazon. Ces acteurs disposent de moyens financiers considérables qui leur permettent de ne pas appliquer les modèles économiques (business models) classiques. Ils procèdent ainsi à des analyses de rentabilité sur le long terme.

Dans cette conjoncture de forte compétition, Thales Alenia Space s’efforce de rester l’un des chefs de file français et européens du satellite, et de consolider sa position. Elle est une co-entreprise, ou entreprise en participation (joint-venture), entre les groupes Thales, pour 67 % de son capital, et Leonardo, à hauteur de 33 %. Implantée dans 17 sites, elle compte environ 7 700 salariés, dont 4 000 en France et 2 000 en Italie. Les autres se répartissent entre plusieurs États européens, en Espagne, en Allemagne, en Belgique, et plus récemment au Royaume-Uni, en Pologne, ainsi qu’en Suisse.

En 2020, en dépit d’une mobilisation et du soutien insignes des agences nationales ‒ l’agence spatiale italienne (agenzia spaziale italiana, ASI), le centre national d’études spatiales (CNES) et la direction générale de l’armement (DGA) en France ‒ de même que de l’agence spatiale européenne (European Space Agency, ESA), la crise sanitaire, les mesures qu’elle a provoquées, ont pesé lourdement sur nos programmes. Le marché de l’exportation s’est également montré quelque peu atone, notamment avec nos clients moyens-orientaux. Les conséquences en apparaissent assez significatives sur notre chiffre d’affaires et sur notre rentabilité. Ainsi, le premier tombe à 1,85 milliard d’euros en 2020, quand il s’établissait à 2,17 milliards d’euros un an plus tôt.

Dans le domaine de la connectivité, Thales Alenia Space se distingue de ses concurrents français, européens et mondiaux. Son implantation nationale se révèle marquée, particulièrement dans le champ des télécommunications et des charges utiles de télécommunication. Les trois-quarts des satellites de télécommunication qu’elle met en orbite géostationnaire sont de fabrication française. Leur production alimente ainsi un vaste tissu de petites et moyennes entreprises (PME) nationales.

Notre prééminence concerne aussi le domaine des constellations spatiales de télécommunications. Depuis la fin des années 2000, nous sommes les maîtres d’œuvre de l’ensemble des constellations commerciales actuellement opérationnelles en orbite basse : Globalstar 2, O3b, Iridium Next. Elles représentent un montant cumulé d’activité de près de 3 milliards d’euros.

Au début de 2020, Telesat, le quatrième opérateur mondial, nous a choisis pour construire sa constellation de télécommunications en orbite basse, nommée Lightspeed. Elle comprendra 300 satellites interconnectés et délivrera partout dans le monde plusieurs térabits par seconde (Tb/s) à des coûts particulièrement compétitifs, pour des services professionnels sécurisés à forte valeur ajoutée. Elle vise principalement un marché d’entreprises, tel que la mobilité à bord de navires ou d’aéronefs, la connexion des stations de base au reste du réseau en matière de communications de quatrième et cinquième génération (4G et 5G), ainsi que les communications sécurisées gouvernementales et d’entreprises.

Comme le signalait M. Rodolphe Belmer, ce marché sera un marché contraint. Du fait de la ressource rare des fréquences, cinq ou six constellations, au maximum, y prendront leur place. Dans ces conditions, les enjeux de souveraineté apparaissent déterminants. Vous ne les ignorez pas. Il importe que nous puissions offrir à nos concitoyens des communications sécurisées et intègres.

La puissance publique en a bien compris et reconnu la nécessité. À l’occasion du comité de concertation entre l’État et l’industrie spatiale (COSPACE) du 24 octobre 2017, M. Bruno Le Maire, ministre de l’économie, des finances et de la relance, s’est exprimé en ce sens. Il soulignait l’importance de privilégier les solutions françaises pour l’accès à l’Internet dans les territoires métropolitains et d’outre-mer, plutôt que de recourir à des systèmes américains, à l’époque Viasat, aujourd’hui Starlink et SpaceX, ou OneWeb, que contrôlent l’État britannique et l’opérateur indien Bharti Global. En 2018, le choix de Thales Alenia Space par Eutelsat, pour réaliser le prochain satellite Konnect VHTS, est intervenu en ce sens.

Si la dimension de souveraineté nationale apparaît essentielle au titre de la protection des communications de nos concitoyens, elle revêt également un enjeu de première importance en matière militaire. Dans ce domaine, proposer des communications parfaitement sécurisées, exemptes de tout brouillage, confine à l’autonomie stratégique. Il s’agit d’acheminer les flux de données depuis ou vers les théâtres d’opération.

À mon tour, j’insiste sur le net soutien de la puissance publique américaine à l’égard des principaux acteurs privés de son industrie spatiale. Ce soutien s’étend aux secteurs des lanceurs et des satellites. Starlink, en particulier, bénéficie de son appui afin de couvrir les zones blanches de 35 États fédérés américains. Dans ce cas précis, l’aide est évaluée à 900 millions de dollars. Outre le dessein de réduire la fracture numérique, ces subventions interviennent également en faveur de l’innovation.

J’ajouterai que SpaceX et Microsoft viennent de signer un accord. Il lie Microsoft Azure, la solution de cloud computing, ou informatique en nuage, de Microsoft, et le réseau de communication Starlink, en vue de permettre l’accès depuis n’importe quel point de la planète à l’ensemble des services de la première : la conservation des données, leur analyse instantanée, l’Internet des objets, etc.

Dans le même ordre d’idée, celui d’une logique de bout en bout, Amazon entend associer sa solution de cloud à celles que lui ouvriront ses nouvelles possibilités de connectivité ainsi que son lanceur.

À travers l’intrication des solutions de connectivité et de cloud, nous percevons que l’enjeu touche à l’ensemble des services numériques proposés aux citoyens français et européens.

Nous avons déjà évoqué l’exemple du satellite Konnect VHTS, projet que Thales Alenia Space conduit en partenariat avec Eutelsat. Il illustre ce que peuvent être de bonnes pratiques en Europe.

En septembre 2017, le Gouvernement a fixé des orientations quant à la stratégie d’aménagement numérique des territoires. À cette occasion, il soulignait la nécessité de mobiliser l’ensemble des technologies adaptées, en particulier les nouvelles solutions satellitaires.

L’intérêt du satellite réside dans la possibilité de déployer un accès à haut et très haut débit dans des zones à faible densité de population ou d’accès difficile, à un coût très compétitif et dans un délai extrêmement bref. Une fois le satellite en orbite, l’accès à l’Internet devient en effet immédiatement possible en tous points du territoire national. Il apparaît ainsi comme une solution universelle de désenclavement. Au-delà, le coût de raccordement de l’utilisateur devient indépendant de la localisation de celui-ci quand, s’agissant des réseaux terrestres, il augmente de façon exponentielle à mesure que la densité de population décroît.

Thales fournit Eutelsat depuis plus de 30 ans. La première fabrication et le premier lancement d’un satellite issu de leur partenariat intervinrent en 1990. Vingt-huit autres ont suivi.

Sous l’angle des technologies disponibles, nous pouvons affirmer que les satellites géostationnaires et les constellations de satellites se révèlent complémentaires. Les premiers offrent des solutions de très haut débit pour des points spécifiques de la planète à un prix compétitif. En cours de développement, le satellite de dernière génération Konnect VHTS que nous lanceront en 2022 sera le plus puissant satellite de télécommunications jamais mis en orbite. Il pourrait contribuer à réduire fortement la fracture numérique dans quelque quarante pays que nous avons identifiés, en Afrique, en Asie, ainsi qu’en Europe de l’Ouest. Nous le voyons, les enjeux internationaux et d’exportation ne manquent pas d’importance.

Un tel projet, sa technologie de charges utiles à très haut débit, en particulier un processeur embarqué de cinquième génération développé avec STMicroelectronics, son infrastructure au sol de bout en bout des plus robustes et sécurisées, ne sont disponibles que parce qu’elles ont bénéficié d’un fort soutien à l’innovation de la part du CNES, du programme français d’investissements d’avenir (PIA) et de l’ESA. Il faut continuer d’en appliquer le modèle.

En définitive, la réponse à la problématique de concurrence mondiale exacerbée que nous soulevons se partage en deux volets principaux. D’un côté, le soutien à l’innovation permet le recours aux technologies indispensables à l’élaboration des nouvelles solutions, qu’elles soient celles des satellites géostationnaires ou des constellations en orbite basse. De l’autre, nous trouvons les grands programmes, à l’instar en Europe de Galileo en matière de navigation et de Copernicus dans le domaine de l’observation de la Terre.

S’agissant de l’initiative du commissaire européen M. Thierry Breton, je rejoins l’analyse de M. Rodolphe Belmer. Une initiative de cette nature, qui tend à fédérer les forces, se révèle incontournable en ce que nos acteurs privés en France et en Europe ne possèdent pas, seuls, la capacité de financement que l’ampleur des programmes, de l’ordre de cinq voire six milliards d’euros, commande.

L’enjeu tient désormais à la vitesse d’exécution. Nos concurrents américains font montre d’une célérité redoutable. Le service Starlink connaît actuellement sa phase dite de bêta-test. Sa commercialisation complète est annoncée dès la fin de l’année 2021. Il faut que l’ensemble des acteurs européens progressent aussi rapidement que possible, tant du point de vue des financements des projets que sur un plan industriel.

Quant à la Chine, nous savons qu’une volonté forte s’y manifeste de participer à la compétition relative aux constellations. Toutefois, nous ne disposons assurément que de peu d’informations au sujet de ses programmes et de leur calendrier de mise en œuvre.

Je conclurai provisoirement en répétant combien l’innovation constitue le moteur de la compétitivité de l’industrie spatiale. Sur ce constat, il nous faut persévérer dans la direction que le CNES, la DGA, le PIA et le plan de relance ont prise. S’ajoutent la contribution de la France à l’ESA et les financements de la Commission européenne, tels ceux issus du programme-cadre Horizon Europe et du fonds européen de défense.

L’étendue du soutien financier que la France apportera à l’occasion de la conférence ministérielle de l’ESA prévue en 2022 sera décisive. Le Gouvernement et la représentation nationale doivent y assigner un objectif prioritaire, au service de programmes européens majeurs, dont celui d’une constellation européenne. Qu’il s’agisse de l’emploi, de la balance commerciale, de ses capacités industrielles stratégiques, de sa souveraineté numérique tant en matière civile que militaire, l’investissement produira indubitablement un bénéfice direct pour la France.

M.  Philippe Latombe, rapporteur. Vous l’avez évoqué tous deux, les GAFAM s’impliquent désormais dans le secteur spatial. Quelles conséquences en prévoyez-vous ?

Je pense par exemple à l’initiative d’Amazon d’ouvrir une manière de concours aux jeunes entreprises innovantes, les start-up, de ce secteur. Celles-ci peuvent poser leur candidature jusqu’au 21 avril 2021, en vue d’être incubées, autrement dit de bénéficier d’un appui à leurs projets et développement. L’une des conditions en tient à leur utilisation du cloud d’Amazon Web Services (AWS). Ne s’agit-il pas pour le géant américain d’un moyen de capter certains de nos talents du domaine spatial ? Dans l’environnement, ou « écosystème », que vous connaissez, pensez-vous que de nombreuses sociétés répondront à l’appel d’Amazon ? Des méthodes de ce type induisent-elles pour nous un risque véritable de perte de compétences et de technologies d’avenir ? Au contraire, nos chercheurs sont-ils suffisamment intégrés pour ne pas céder à cet appel ?

M. Hervé Derrey. Du moins ces méthodes ne surprennent-elles nullement. Les principaux acteurs du cloud visent à attirer le plus d’applications possible sur celui qu’ils hébergent, d’une manière plus ou moins partenariale et ouverte. Amazon appartient plutôt à la catégorie des acteurs au système relativement fermé. L’exemple que vous décrivez s’inscrit dans la cohérence de sa stratégie et de son approche.

Certainement le risque existe-t-il qu’Amazon ou d’autres acteurs américains du cloud attirent de jeunes entreprises innovantes européennes. Il revient à la puissance publique d’organiser un environnement qui leur soit favorable et susceptible d’obvier à ce risque.

M. Rodolphe Belmer. Ici, le risque ne diffère pas sensiblement de celui qui prévaut dans tous les domaines d’innovation technologique. Aujourd’hui, l’idée de financer la recherche et l’innovation par les petites entreprises, les start-up, joue en faveur des marchés qui détiennent les capitaux les plus abondants. Elle entraîne une migration des talents, notamment de l’Europe vers les États-Unis. La situation ne concerne pas uniquement le domaine spatial. Nous la retrouvons dans bien d’autres secteurs de l’industrie.

Historiquement, la recherche spatiale en Europe bénéficiait de l’appui de grands groupes, à l’instar de Thales ou Airbus. Progressivement, la recherche se répand dans le monde des start-up. Moins coûteuse, reposant davantage que par le passé sur des logiciels informatiques (softwares), elle prend une forme nouvelle. Désormais, le poids des capitaux prime celui des groupes industriels en place. Il semblerait que l’Europe n’en ait pas pleinement pris la mesure.

M. Philippe Latombe, rapporteur. Avec le programme Ariane, l’Europe dispose d’un lanceur d’une indéniable qualité. Pour autant, nous avons manqué le marché du lanceur réutilisable. Les raisons en sont multiples. Peut-être n’y avons-nous pas suffisamment cru.

Resterons-nous maintenant en marge d’innovations majeures ? Vous-même nous l’avez indiqué : la bataille qui se joue est une bataille de place, au sens d’espace physique. L’espace autour de la Terre ouvert aux constellations de satellites s’avère limité. Y prendre une place requiert de ne pas atermoyer, car l’occasion ne se représentera plus. Or, nous constatons qu’un programme suit déjà sa phase de bêta-test. Amazon prévoit de lancer le sien. D’autres acteurs montrent une volonté identique. Ne sommes-nous pas en train de prendre un retard rédhibitoire ? Le type d’initiative qu’Amazon promeut en matière d’innovation n’aggrave-t-elle pas la situation ?

M. Rodolphe Belmer. Votre intervention appelle plusieurs niveaux de réponse.

S’agissant des constellations en orbite basse, leur nombre sera en effet nécessairement circonscrit. Nous l’avons signalé. De fait, lorsque les places seront prises, et à moins que les Européens ne parviennent à occuper l’une d’elles avant cette échéance, ils n’auront ensuite plus le moyen de rattraper leur retard.

C’est pourquoi j’estime que les constellations en orbite basse représentent une infrastructure de télécommunication critique et de souveraineté. Du moins faut-il qu’elles le deviennent en France et sur notre continent. Par suite, il appartient aux Européens d’agir de telle sorte que l’une de leurs entreprises ou institutions s’impose en la matière. La difficulté ne revêt ici nulle dimension technologique : nos industriels, comme Thales Alenia Space, savent d’ores et déjà concevoir des constellations en orbite basse ; nous savons également procéder au lancement des satellites, puis les exploiter. La difficulté ressortit d’abord à une question d’ordre financier.

Or, le secteur commercial n’est à ce jour pas structuré pour financer intégralement un investissement aussi étendu et risqué. Afin de pondérer le risque d’une infrastructure technologique de la dimension des constellations de satellites, et à l’imitation de ce qui prévaut sur d’autres continents, nous avons besoin du soutien de la puissance publique.

La décision revêt un caractère politique. Compte tenu de l’échelle de l’investissement, son niveau est vraisemblablement celui de l’Union européenne.

Un deuxième sujet porte sur l’innovation et la compétitivité de l’industrie nationale et européenne. Vous évoquiez, M. le rapporteur, l’exemple d’Ariane. Vous releviez que ce programme avait manqué l’étape du lanceur réutilisable. Sans doute sous-entendiez-vous par là que l’exemple était la marque d’un déclin, d’un déclassement, de l’industrie spatiale européenne.

Je souhaiterais nuancer l’affirmation. Je m’y emploierai en qualité de représentant d’une société cliente de l’industrie spatiale européenne et du lanceur Ariane.

Cette industrie demeure sans conteste performante. En dépit de son manque de soutien public, elle ne cède en rien à la concurrence internationale, tant du point de vue technique que sous l’angle du rapport qualité-prix. Eutelsat acquiert ainsi 90 % de ses satellites auprès des deux acteurs européens Thales Alenia Space et Airbus Defense and Space. Elle sous-traite la moitié de ses lancements à Ariane.

Toute autre considération mise à part, Eutelsat agit d’abord comme une entreprise commerciale privée. Des exigences de rentabilité la meuvent. Ses choix se fondent donc sur des critères strictement rationnels. Le satellite Konnect VHTS en cours de fabrication par Thales Alenia Space représentera une innovation de niveau mondial. Le premier de cette classe, il permettra d’offrir d’excellents débits de connexion à prix réduit à la population européenne située dans des zones rurales.

Cependant, le risque d’un déclassement existe-t-il à terme ? Nous ne pouvons l’exclure. Assurément, le secteur spatial change de paradigme. Jusqu’à présent, l’industrie repose sur une logique d’expertise et d’innovation. Chaque objet de sa production s’avère différent. Pièce unique, chaque satellite remplit des missions en propre. Elle évolue désormais vers un marché de volumes. Les constellations en orbite basse supposent la fabrication de milliers de satellites. Une logique de réplicabilité et d’industrialisation est appelée à prendre le pas.

Si notre industrie se révélait incapable d’entrer dans cette nouvelle logique, faute de commandes suffisantes en volumes, elle courrait un risque d’un déclassement. En effet, elle perdrait en productivité, ce qui jouerait défavorablement sur ses prix et sa compétitivité sur le marché.

Sans doute la co-entreprise ArianeGroup se confronte-t-elle à l’amorce d’un phénomène de ce type. Si ses ingénieurs n’ont pas opté pour la solution des lanceurs réutilisables, la raison en tient à un volume insuffisant de commandes.

Dans sa configuration actuelle, Ariane répond au besoin d’un certain nombre de lancements par an. Les institutions européennes et le marché commercial ‒ principalement Eutelsat ‒ les lui commandent. La faible fréquence de ces lancements ne permet pas d’envisager un bénéfice effectif à l’emploi de lanceurs réutilisables.

Au contraire, avec son projet Starlink, SpaceX s’apprête à lancer des milliers, voire des dizaines de milliers de satellites. Ils nécessiteront plusieurs centaines de lancements. Soutenue, comme nous l’avons rappelé, par le financement de la puissance publique américaine, la logique devient ici celle des gains de productivité et des volumes.

De toute évidence, une telle politique industrielle influe sur la performance économique d’acteurs comme Ariane et sur leurs choix stratégiques. Nous ne saurions néanmoins reprocher au lanceur européen ceux qu’il a adoptés en l’absence d’augmentation du volume de ses commandes. Ariane reste un excellent lanceur en considération de la mission qui lui incombe.

M. Philippe Latombe, rapporteur. Ne pouvons-nous tout de même identifier un manque d’anticipation ? Le choix de ne pas s’engager dans l’utilisation de lanceurs réutilisables en l’absence de marché au moment de la décision ne décèle-t-il pas un défaut de vision quant à l’avenir des usages et de ce marché ? Les Américains, à l’inverse, paraissent s’être projetés plus avant, avoir perçu les futures pratiques bien en amont de leur matérialisation.

M. Rodolphe Belmer. Dans ce débat, je me dois de tenir la place qui me revient. Toutefois, s’il me faut formuler un avis en tant que citoyen, je reconnaîtrai que les acteurs européens pâtissent vraisemblablement d’un problème de vision stratégique. Vous l’avez sûrement constaté dans le cours des travaux que vous menez à l’Assemblée nationale au sujet de l’Internet par satellite : jusqu’à une époque récente, la puissance publique ne croyait pas en la pertinence de ce mode de connexion.  Elle en rejetait l’idée. Toute l’attention se reportait sur la fibre optique.

Or, la nécessité du recours aux nouvelles constellations de satellites, de leur lancement, naît du constat que les opérateurs terrestres ne sauront satisfaire l’ensemble des besoins de connexion des populations. En la matière, les États-Unis ont apporté la preuve de leur pragmatisme. À partir de leur constat du caractère indispensable des satellites pour couvrir les zones rurales, ils mettent en branle l’ensemble de la chaîne de valeur, de la fabrication de ces satellites à leurs lanceurs. Par leurs institutions, par le programme Rural Digital Opportunity Fund (RDOF), ils y apportent les financements adéquats.

M. Philippe Latombe, rapporteur. Nous manque-t-il l’équivalent de la DARPA américaine ?

M. Hervé Derrey. Je reconnais également que, dans le domaine spatial, l’industrie européenne se révèle très performante. Elle remporte des marchés partout dans le monde. Plus tôt au cours de nos échanges, je citais l’exemple de la constellation de TeleSat. Cet opérateur a choisi les services de Thales Alenia Space.

Nous sommes manifestement en capacité de répondre aux attentes, à condition que se maintienne ou se renforce le financement de l’innovation. Politique, la décision d’appuyer les grands programmes permettra d’offrir des solutions autres que celles des entreprises et de l’industrie américaines.

Le programme de constellation européenne nécessite le soutien massif des États membres de l’Union européenne. Son financement, ainsi que son déploiement rapide, en dépendent. Pour l’heure, nous accusons certainement quelque retard par rapport aux initiatives américaines. Paradoxalement, il nous laisse la possibilité de nous montrer plus innovants encore et d’apporter une vraie valeur ajoutée. Ce résultat suppose une volonté politique forte. Sa concrétisation laisse désormais peu de champ à d’autres retards.

M. Philippe Latombe, rapporteur. Mais pensez-vous que nous ayons besoin d’un organisme stratégique de vision à long terme ? Dans l’affirmative, doit-il se placer à l’échelle française ou européenne ? Subsidiairement, le personnel politique, les décideurs, vous paraissent-ils suffisamment au fait des technologies à l’œuvre de nos jours ? Ne percevez-vous pas un déficit d’acculturation de leur part dans le domaine des techniques de pointe ?

M. Hervé Derrey. Pour ce qui a trait aux organes, je ne crois pas qu’il nous en faille de supplémentaires. Je n’en perçois pas véritablement l’intérêt. Nous disposons déjà des agences spatiales nationales et de l’agence européenne, l’ESA. En France, le CNES se révèle éminemment compétent.

Quant à la conscience politique, nous constatons qu’elle émerge. À mon sens, M. le commissaire Thierry Breton et ses équipes énoncent une vision parfaitement claire dans le domaine dont nous traitons. Ils en comprennent les sujets et enjeux. Il faut désormais qu’ils trouvent un relais dans le soutien indéfectible des États membres de l’Union.

M. Rodolphe Belmer. Pour ma part, j’estime que le long terme prime dans les domaines d’innovation technologique. Il incombe à l’État de remplir son double rôle de stratège et de stimulateur d’investissements qui s’inscrivent dans la durée. La logique en échappe parfois au marché commercial qui, par définition, s’attache prioritairement à des considérations de rentabilité de moyen terme.

Concernant la culture de l’innovation, du progrès, celle de la technologie, je procède au même constat que M. Hervé Derrey. J’en tire cependant une conclusion différente.

Certes, avec l’arrivée de M. Thierry Breton, l’Union européenne prend en charge la nouvelle problématique des constellations en orbite basse et des télécommunications par satellites, essentielle à notre souveraineté numérique. Elle y donne une impulsion forte. Devons-nous uniquement nous en féliciter ? Rien n’est moins sûr.

Nous pouvons en effet nous interroger sur ce qu’il serait advenu si une autre personnalité politique avait pris la responsabilité du portefeuille du marché intérieur. Doté de qualités de meneur hors du commun, l’actuel commissaire européen vient lui-même du secteur industriel, il y a acquis une compétence considérable. Sa présence, son action, constituent une chance précieuse et décisive. Nous ne saurions cependant laisser les institutions européennes reposer sur le talent d’un seul homme.

M. Philippe Latombe, rapporteur. Souhaitez-vous aborder d’autres aspects du sujet qui nous réunit ou insister sur certains de ceux dont nous avons traité ?

M. Rodolphe Belmer. Vous nous avez demandé s’il existe dans notre domaine des segments d’innovation qui méritent notre attention parce qu’ils représentent des services d’avenir. Je répondrai par l’affirmative.

Nous nous distinguons avantageusement en France dans ce que nous appelons le segment spatial. Par le moyen des lanceurs, il consiste à amener des satellites dans l’espace extra-atmosphérique. Bientôt, les systèmes de télécommunication spatiaux reposeront sur des systèmes espace et sol. Autrement dit, les systèmes sols prendront davantage d’importance dans la création de valeur ajoutée. Or, nous ne disposons que de fort peu de segments sols de qualité en Europe. Nous n’innovons pas suffisamment en la matière. Il nous semble que la puissance publique devrait y réfléchir et l’industrie s’organiser pour développer les technologies qui s’imposent.

M. Hervé Derrey. Je souhaite pareillement intervenir sur la question des nouveaux segments. Outre le segment sol, pour lequel je souscris aux propos de M. Rodolphe Belmer, je mettrai en avant le sujet de la maîtrise de l’espace. Il induit en particulier l’enjeu de la supervision des objets spatiaux. Lui-même a trait au problème des collisions et recouvre par ailleurs une dimension de défense. J’évoquerai ensuite les services en orbite. Ils sont appelés à se développer significativement. Enfin, l’attention demeure de rigueur en matière d’observation spatiale vers la Terre ou l’espace, qu’elle soit optique, radar ou hyperspectrale. Elle progresse également selon une cadence soutenue et apparaît comme un domaine stratégique d’avenir.

M. Philippe Latombe, rapporteur. Je prends bonne note de vos dernières remarques.


—  1  —

Audition commune, ouverte à la presse, de représentants - du groupe Atos : Mme Coralie Héritier, responsable des identités numériques, dirigeante d’IDnomic, et d’IN Groupe : MM. Romain Galesne-Fontaine, directeur des relations institutionnelles, et Yann Haguet, vice-président exécutif identité numérique, copilote du groupe de travail identité numérique au sein du comité stratégique de filière des industries de sécurité
(6 avril 2021)

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Nous accueillons Mme Coralie Héritier, dirigeante d’IDnomic et responsable des identités numériques chez Atos, M. Yann Haguet, vice-président exécutif identité au sein d’IN Group, copilote du groupe de travail identité numérique au sein du comité stratégique de filière (CSF) des industries de sécurité, ainsi que M. Romain Galesne-Fontaine, directeur des relations institutionnelles d’IN Group.

Notre échange s’inscrit dans une réflexion sur l’identité numérique. La semaine dernière, nous avons auditionné les représentants de l’agence nationale des titres sécurisés (ANTS), du programme interministériel France Identité numérique, ainsi que le responsable d’une entreprise concernée par ce sujet.

Aujourd’hui, notre objectif consiste à mieux comprendre les choix technologiques qui s’opèrent à l’occasion du projet d’identité numérique régalienne. Nous souhaitons également mieux cerner la façon dont les acteurs de ce projet interagissent au service de la meilleure performance possible et de la prise en compte des enjeux de souveraineté qui occupent nos travaux.

M. Philippe Latombe, rapporteur. J’évoquerai trois sujets sur lesquels nous aimerions vous entendre.

Le premier a trait aux enjeux de l’identité numérique et à la manière dont le déploiement de solutions publiques ou privées est susceptible de contribuer au renforcement de la souveraineté numérique de la France et de l’Europe. Quels choix technologiques ont été retenus et la position de l’Imprimerie nationale vis-à-vis de l’ANTS.

Pour parler sans détour, nous cherchons à savoir comment vous vous organisez pour définir ensemble des solutions techniques qui, dans le domaine de la sécurité, répondent à l’état de l’art. J’entends des solutions qui intègrent les dernières innovations. La question s’étend également à votre capacité à privilégier des solutions souveraines.

Le deuxième point intéresse le déploiement de la carte nationale d’identité électronique (CNIe), dont il était prévu qu’il s’effectue en lien avec une identité numérique. Vous ne l’ignorez nullement, cette perspective nourrit de fortes inquiétudes. Des parlementaires s’en sont récemment fait l’écho dans un courrier qu’ils ont adressé au Gouvernement.

Selon vous, comment s’explique le retard de déploiement que nous enregistrons, alors que la France s’avère déjà en décalage avec les autres pays européens ? Des marges de manœuvres, des moyens existent-ils afin d’accélérer le mouvement qui permettra d’apporter à nos concitoyens les nouvelles solutions disponibles ?

Enfin, nous reviendrons sur les usages de l’identité numérique. Je m’interroge, d’une part, sur les besoins et attentes des utilisateurs, d’autre part, sur les possibilités que ces solutions offrent ou offriront à terme.

J’apprécierais tout particulièrement de vous entendre sur le modèle économique de l’identité numérique. Il a fait l’objet de nombreux débats. À votre avis, quelle place les acteurs privés doivent-ils y prendre ? Comment convient-il de le financer ? En dernier lieu, de quelle manière rassurerons-nous les citoyens quant à la protection de leurs données personnelles, alors que la presse révèle régulièrement des affaires de fuites de ces données ?

M. Romain Galesne-Fontaine, directeur des relations institutionnelles, IN Groupe. Mon propos liminaire concernera IN Groupe. Structure publique, IN Groupe est l’imprimerie de l’État. Celui-ci en détient intégralement le capital. Spécialiste de l’identité et des services numériques sécurisés, IN Groupe opère au service de la mission régalienne de réalisation des documents et des systèmes d’identité sécurisés. Il s’agit des passeports biométriques, des cartes nationales d’identité électroniques, des permis de conduire, des titres de séjour.

IN Groupe conçoit également les documents et systèmes qui permettent l’exercice d’un droit professionnel reconnu par l’État, telles que les cartes des agents publics, celles des conducteurs de poids lourds en France, ou la plateforme d’identité des professionnels de santé.

IN Groupe mène sa mission conformément au cadre légal applicable aux prérogatives de l’Imprimerie nationale exercées pour le compte de l’État.

Comme la plupart des membres de l’Union européenne, la France a choisi de s’appuyer, en matière d’identité, sur un opérateur industriel public capable d’intégrer de manière agnostique les meilleures technologies du marché. Ce choix permet à l’État de préserver sa souveraineté et son indépendance technologique, tout en garantissant la protection et la confidentialité de l’identité de ses ressortissants. De fait, l’Imprimerie nationale est amenée à connaître de l’identité de l’ensemble des Français.

Ses prérogatives trouvent leur contrepartie dans les engagements qu’elle prend vis-à-vis de l’État. Qu’il s’agisse des composants, des moyens de sécurité, des systèmes et des innovations, elle assure tout d’abord une veille technologique permanente dans le domaine de l’identité. Par cette action, elle apporte à l’État une maîtrise technologique à l’état de l’art. Elle lui garantit ensuite la sécurité de l’approvisionnement de ses titres d’identité, de leurs composants et des techniques qui concourent à leur fabrication. Enfin, dans sa démarche de sécurisation des titres, elle sélectionne les solutions techniques pour lesquelles elle sait compter sur au moins deux fournisseurs qualifiés ou qualifiables.

L’exigence en est devenue centrale depuis les crises de 2017 et de 2018. Les liquidations judiciaires inopinées et soudaines de fournisseurs risquèrent alors de compromettre la production des passeports français. Seules la mobilisation des réserves de sécurité de l’Imprimerie nationale et l’identification d’autres fournisseurs permirent de maintenir la production. Ces situations ont conduit le ministère de l’intérieur, l’ANTS et l’Imprimerie nationale à entériner, en matière d’identité, une obligation de travailler simultanément avec plusieurs fournisseurs et de diversifier les sources d’approvisionnement.

Les fournisseurs retenus dans le respect des règles de la commande publique se soumettent de plus à une qualification industrielle stricte. Elle permet de vérifier leur capacité à fournir leur prestation à l’Imprimerie nationale pendant toute la durée de vie du titre. La qualification intègre ensemble des aspects techniques, économiques, de durabilité, de conformité aux normes et de sécurité d’approvisionnement.

À titre d’exemple, pour chaque approvisionnement stratégique, le choix des fournisseurs de l’Imprimerie nationale en vue de la production de la nouvelle CNIe a fait l’objet d’une sélection rigoureuse. De façon non exhaustive, je citerai le polycarbonate, les encres, le dispositif holographique, les composants électroniques, la plateforme de personnalisation ou les équipements de fabrication. Il est à noter que la plupart des entreprises partenaires du programme de CNIe sont françaises ou européennes.

L’enjeu consiste évidemment à assurer le déploiement généralisé de la CNIe, engagé le 15 mars 2021. La montée en puissance repose sur un outil industriel que nous avons dimensionné en conséquence. Nous aurons la capacité d’atteindre un volume de production et de personnalisation de 10 millions de CNIe par an. Pour la partie identité numérique de la carte, nous sommes aussi en mesure de poursuivre les travaux relatifs aux conditions de fourniture aux usagers d’un code confidentiel, ou numéro d’identification personnel (PIN, personal identification number).

Par ailleurs, pour le compte de l’agence du numérique en santé, nous développons le projet e-CPS. Il consiste en une version dématérialisée, sur smartphone, de la carte des professionnels de santé. Avec elle, nous évoquons une identité numérique que ces professionnels utilisent notamment pour se connecter au système informatique de l’assurance maladie.

IN Groupe mène aussi des activités à l’exportation. Elles contribuent à maintenir sa maîtrise de l’état de l’art. Le gouvernement monégasque nous a par exemple sélectionnés pour mettre en œuvre sa nouvelle plateforme d’identité légale, physique et numérique. IN Group lui fournira une carte d’identité électronique puis, à partir d’elle, une identité numérique dérivable sur smartphone, ainsi qu’une plateforme de services numériques.

Je compléterai mon propos en revenant sur une audition que votre mission d’information a conduite ce jeudi 1er avril 2021. Il me semble que l’une des personnes que vous avez entendues a fait montre d’approximation, voire vous a volontairement communiqué des données erronées.

En aucun cas la nouvelle CNIe n’équivaudra-t-elle à une simple copie du permis de conduire de 2013 ou du titre de séjour des étrangers.

Certes, comme ces titres, la CNIe doit respecter la réglementation européenne. Elle partage avec eux un cadre commun. Elle en partage encore quelques propriétés : le polycarbonate, le format d’une carte bancaire. Cependant, pour tout expert de l’identité, la ressemblance s’arrête là.

La CNIe inclut des sécurités de toute nouvelle génération. Elles n’avaient pas encore été employées. Son dispositif holographique utilise ainsi des nanomatériaux. Il autorise un contrôle variable optique. Inédit, le bord transparent de la carte prolonge le fonds sécurisé. Sa puce comprend un conteneur identité numérique développé avec l’industrie française. Un cachet électronique visible associe une signature numérique. La liste est longue des innovations visibles ou invisibles du nouveau titre. Des raisons évidentes de confidentialité m’interdisent de décrire les secondes.

La CNIe correspond à un titre dont les innovations côtoient des sécurités expérimentées et robustes. Les unes et les autres se conforment au cahier des charges de l’ANTS et des forces de police.

Une remarque avait porté sur un possible déséquilibre de la relation entre l’ANTS et l’Imprimerie nationale. Je rappelle qu’il s’agit d’une relation de confiance entre un donneur d’ordre public et un expert industriel public. L’ANTS, ainsi que les forces de police, établissent le cahier des charges sécuritaire d’un titre. Nous parlons alors de « cibles de sécurité ». En réponse, l’Imprimerie nationale propose une architecture qui combine un ensemble de sécurités physiques, électroniques et numériques. L’ANTS et les forces de l’ordre valident ensuite cette architecture : elles conservent donc le dernier mot sur la conception (design) et les aspects de sécurité du titre que l’Imprimerie nationale leur soumet.

Au cours de votre audition, des questions portaient sur la photographie du nouveau titre d’identité.

Avant toute chose, je préciserai qu’il ne s’agit pas d’une photographie en noir et blanc, mais d’une photographie en tons de gris. La directrice de l’ANTS a expliqué que la demande en provient des forces de l’ordre. Les raisons en tiennent au contrôle visuel, physique, du titre.

Ensuite, on a pu se demander si le procédé en était américain et ce qui avait justifié le choix de recourir à une technique étrangère.

Je déments ici un quelconque défaut de maîtrise technique : l’Imprimerie nationale peut parfaitement produire des titres en polycarbonate qui contiennent de la couleur. Elle le démontre à l’occasion de son partenariat avec le gouvernement monégasque. Il s’avère que 90 % de la centaine de pays qui, dans le monde, émettent des titres d’identité en polycarbonate, utilisent le système de gravure laser en tons de gris au cœur de la carte, choisi pour la CNIe française.

La technique en comprend deux blocs principaux : le matériau et les équipements de gravure laser. Une société européenne développe et fournit le premier. Les seconds se révèlent d’origine française. Une société située à Orléans, qui emploie 50 collaborateurs, produit et utilise ces équipements. Il se trouve qu’elle a fait l’objet d’un rachat, voici quelques années, par une entreprise américaine. La technologie que nous sollicitons n’en demeure pas moins française. Conclure que nous aurions opté pour un procédé américain au détriment de techniques d’une origine géographiquement plus proche de nous, paraît pour le moins contestable.

Enfin, s’agissant du cachet électronique visible de la CNIe, et ainsi que la directrice de l’ANTS l’a indiqué au cours de son audition, le projet n’a pas pu intégrer dans les premières phases de son développement la norme 105 car la publication de celle-ci ne remonte qu’au mois d’octobre 2020. En revanche, il reste loisible d’envisager une évolution conforme aux spécifications de cette norme dans les prochaines phases du projet. La décision en reviendra à l’ANTS.

Nous nous confrontons souvent à des sollicitations de sociétés qui surenchérissent sur les aspects de sécurité en vue de promouvoir leurs solutions. Je rappelle qu’un titre d’identité se compose d’un ensemble d’éléments de sécurité qui répondent précisément aux cibles que le ministère de l’intérieur et l’ANTS ont déterminées. La surenchère que nous constatons ne nous apporte rien, à plus forte raison quand la technique dont elle vante le mérite n’a obtenu aucune reconnaissance en dix ans d’existence et qu’elle fait peser un risque certain en matière d’approvisionnement stratégique.

Je terminerai ma présentation en ramenant le débat sur un sujet central, celui de l’identité numérique. De véritables enjeux s’y décèlent sous l’angle de la souveraineté nationale.

En elle-même, l’identité ressortit à la souveraineté. Pour IN Groupe, elle constitue non un service, mais un droit fondamental. Il nous semblerait inconcevable que l’État ne prenne aucune part à la mise en place de l’identité numérique. Au contraire, par le moyen de la CNIe, l’État introduit un support qui autorise un large déploiement dans la population française, à l’attention de ceux qui le souhaitent, d’une ou plusieurs identités numériques sécurisées.

À notre niveau, nous nous réjouissons de contribuer à ce vaste projet. Nous saluons l’ambition et la qualité des travaux de son promoteur, le programme France Identité numérique.

Prête à fournir l’identité numérique des Français, l’Imprimerie nationale jouera son rôle au service de la stratégie de l’État, à l’instar d’autres acteurs publics ou parapublics, telle La Poste. Moyennant la délivrance du code confidentiel PIN de la CNIe, nous pouvons dès 2021 déployer la solution d’identité numérique que nous avons développée.

Ici, souveraineté nationale et souveraineté européenne se combinent. Par sa puissance normative, face à d’autres modèles qui émergent à travers le monde, l’Europe doit incarner une troisième voie dans la société numérique : celle de la protection des données personnelles et de l’identité. Elle se distinguera alors d’un modèle de monétisation de la donnée personnelle, ainsi que d’un autre modèle où données et identité numériques serviraient au contrôle social.

Mme Coralie Héritier, dirigeante d’IDnomic, responsable des identités numériques du groupe Atos. Je comprends que j’interviens devant vous principalement en ma qualité de copilote d’IN Groupe auprès du comité stratégique de filière (CSF) sur le projet identité numérique et en tant qu’experte de l’identité numérique.

Je vous présenterai le groupe Atos puis, en son sein, l’activité relative à l’identité numérique qui retient aujourd’hui notre attention.

Le groupe Atos est issu de la réunion de plusieurs acteurs du conseil et des services du numérique, ou technologie de l’information (information technology, IT) : Sligos et Sema Group, puis Siemens IT Solutions and Services et Bull. Son histoire a conféré au groupe Atos une dualité d’activités complémentaires, entre les services numériques et des produits intéressant des domaines comme la cybersécurité ou les supercalculateurs. S’ajoute une activité de recherche et d’innovation en matière d’informatique quantique.

D’une manière générale, le groupe Atos soutient le développement numérique de ses clients. À ce titre, il s’attache aux questions de cybersécurité. L’identité numérique figure au nombre de ces questions. Elle forme en effet l’un des piliers qui assurent la confiance indispensable au déploiement des activités numériques.

Anciennement Keynectis SA, spécialisée en cybersécurité, l’entreprise IDnomic a rejoint le groupe Atos en octobre 2019. À cette date, elle assurait déjà le copilotage du groupe de travail consacré au projet identité numérique du CSF des industries de sécurité.

IDnomic conçoit des certificats électroniques, selon une technologie d’infrastructure à gestion de clés. Celle-ci apporte des éléments de sécurité, comme le chiffrement de communications ou de fichiers, de l’authentification forte, la signature électronique. Nous l’avons tôt mise en service, en sous-traitance de l’Imprimerie nationale, désormais IN Groupe, et en partenariat avec l’ANTS. Son utilisation a d’abord concerné les passeports électroniques, devenus biométriques, français. Nous l’avons ensuite exportée. Elle a servi au déploiement des passeports d’environ trente autres pays.

Dans le processus d’émission des passeports biométriques, nous avons fourni avec cette technologie une chaîne de sécurité et de confiance.

M.  Philippe Latombe, rapporteur. Sur l’identité numérique et, en particulier, la CNIe, pourquoi avons-nous pris autant de retard en France ? Pourquoi avons-nous dû, dans l’urgence, nous diriger vers une solution dont l’Union européenne nous avait d’assez longue date montré la voie ?

Mme Coralie Héritier. La réaction française n’est cependant pas si récente. Avec IN Groupe, nous appartenons aux acteurs qui nous trouvons au cœur de la question depuis des années. Nous avons œuvré dans différentes commissions, à des projets tels qu’IdéNum. Le Parlement s’est également saisi du sujet. Le frein qui y fut mis eut une origine essentiellement politique. Il ne m’appartient pas d’insister sur cet aspect. Sans doute, la société ni le monde politique français n’étaient-ils suffisamment prêts.

Désormais, la réponse que nous apportons se conforme parfaitement au Règlement européen. J’évoquais les passeports biométriques précisément parce que ce Règlement tend à généraliser les exigences qui, à l’instigation de l’organisation de l’aviation civile internationale (OACI, ICAO en anglais), prévalent en matière de transport aérien.

M.  Philippe Latombe, rapporteur. S’agissant de la carte nationale d’identité, nous avons le sentiment que des pays européens ont été nettement en avance sur la France. Je pense en particulier au Portugal. Il semble qu’il en aille de même en matière d’identité numérique. La France paraît très en retard. Ce constat a incité, voici quelques jours, plusieurs de mes collègues parlementaires qui ont conduit la mission identité numérique à écrire au Premier ministre. Ils lui demandent d’intervenir pour hâter les réalisations françaises dans ce domaine.

La base réglementaire existe. Que se passe-t-il donc pour que nous accusions un tel retard ? La question reste ouverte.

M. Yann Haguet, vice-président exécutif identité numérique d’IN Groupe, copilote du groupe de travail identité numérique au sein du comité stratégique de filière des industries de sécurité. Je n’entrerai pas non plus dans des considérations d’ordre politique. Je puis néanmoins apporter certaines précisions. Par les retours d’expérience qui s’y échangent, le groupe de travail consacré aux enjeux d’identité numérique auprès du CSF des industries de sécurité offre un observatoire privilégié sur ces questions.

La genèse du programme s’avère plutôt ancienne. Elle remonte aux années 2000. Mme Coralie Héritier évoquait la multiplicité des commissions ou groupes de travail qui sont intervenus. Je puis citer le projet d’identité nationale électronique sécurisée (INES). La préoccupation a tôt existé. Les industriels se sont pareillement vite intéressés au sujet.

Le projet de protection des identités est apparu à partir de 2005. Il comportait deux volets. La France a d’abord choisi de concentrer ses efforts sur le problème du passeport, parce qu’il s’agit d’un document de voyage. Ils ont abouti en 2006 à la création du passeport électronique, en 2009 au passeport biométrique.

Au début des années 2010, la France s’est penchée sur la question de la CNIe. Par sa décision n° 2012-652 DC du 22 mars 2012, le Conseil constitutionnel a porté un coup d’arrêt à son élaboration. La décision de la Haute instance remettait en cause le principe de la mise en place d’une base centralisée des données biométriques de la population française, que la Commission nationale de l’informatique et des libertés (CNIL) jugeait par ailleurs irrecevable.

Il a fallu en conséquence retenir une approche non seulement différente, mais qui tînt compte de la pratique des autres États membres de l’Union européenne. Des événements sont ensuite intervenus.

Je pense d’abord à l’adoption le 23 juillet 2014 du Règlement européen n° 910/2014, relatif à l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (Electronic Identification, Authentification and trust Services, eIDAS). Il a significativement contribué à façonner la solution française de CNIe.

Il y a introduit la notion d’interopérabilité entre les identités numériques des différents pays, la nécessité d’utiliser un langage commun. Le Règlement eIDAS a eu le mérite de clairement caractériser les niveaux d’identité numérique : faible, substantiel ou élevé, et d’en définir les critères d’appréciation.

En 2014 toujours, l’apparition de FranceConnect a posé un autre jalon de la création d’une identité numérique à la française. FranceConnect correspond au souhait de l’État d’ouvrir à l’ensemble de ses ressortissants la possibilité de s’identifier sur un serveur unique, afin d’accéder à des services publics en ligne. Ce serveur fédère les identités numériques, il favorise lui aussi l’interopérabilité entre elles, standardise les critères d’identification des citoyens. À terme, conformément à la réglementation eIDAS, il jouera le rôle de nœud de connexion également pour des identités européennes qui, si elles y sont autorisées, pourront ainsi accéder à des services publics français.

Certes, la France a attendu le début de l’année 2019 avant d’entreprendre de définir précisément son modèle de CNIe et la manière dont elle y intégrerait la dimension d’identité numérique. La carte émise depuis le 15 mars 2021 applique les diverses spécifications, les choix et arbitrages qui sont intervenus depuis lors.

En obligeant les États membres à renforcer la fiabilité de leurs titres d’identité, l’Union européenne et sa réglementation ont joué un rôle de catalyseur. Le choix d’un mode électronique garantit le respect de ces contraintes de sécurité. Il permet de plus de transformer la carte nationale d’identité en vecteur de diffusion de l’identité numérique.

M. Romain Galesne-Fontaine. Soyons clairs, la situation actuelle ne résulte nullement d’un défaut de maîtrise technique. Avec de nombreux acteurs français, l’Imprimerie nationale possède celle de l’identité numérique. Dès 2012, à l’occasion de l’adoption de la loi relative à la protection de l’identité, qui prévoyait la mise en place d’une CNIe, nous étions prêts. La censure du Conseil constitutionnel en a retardé la réalisation.

Toutefois, depuis 2019 et l’essor de FranceConnect, nous comprenons que le succès d’une identité numérique ne repose pas uniquement sur un support ou la fourniture d’une telle identité. Pour qu’elle atteigne ses buts, les exemples européens nous montrent que l’identité numérique suppose de fournir avec elle tout un ensemble, ou « écosystème », de services qui répondent à des usages. FranceConnect nous a justement permis de réfléchir plus avant à cet aspect décisif, que nous avions auparavant qu’insuffisamment considéré.

Désormais, notre démarche embrasse toutes les dimensions nécessaires à la réussite du projet. Ce projet d’identité et de services numériques sécurisés s’avère d’autant plus ambitieux qu’il concerne à terme une population de 67 millions de Français et un nombre proportionnellement élevé de connexions quotidiennes.

Mme Coralie Héritier. J’ajoute que dorénavant, à côté de la CNIe, l’identité, et même les identités numériques dérivées, gagnent en importance. Elles requièrent que nous nous projetions et poursuivions, notamment au sein du CSF, notre travail en commun avec les industriels de la sécurité.

Démocratisée, une identité numérique citoyenne et régalienne doit permettre d’accéder à un autre niveau de services, pour des usages courants. Je pense notamment à la possibilité de l’employer depuis un smartphone. Je suis d’accord pour dire que son utilisation dépendra de l’étendue des services auxquels elle donnera accès. Il nous faut faire en sorte que l’identité numérique interagisse avec son environnement. Isolée de lui, elle ne sert à rien. Au contraire, l’interopérabilité et une large connectivité avec des services numériques lui conféreront toute sa valeur.

M.  Philippe Latombe, rapporteur. Force est de constater que dans l’administration même, le réflexe perdure qui consiste à demander systématiquement des photocopies de la carte d’identité. À ce jour, il reste impossible d’engager une action en justice, d’immatriculer une société au greffe du tribunal de commerce, d’ouvrir un compte bancaire, voire simplement d’actualiser le dossier client qui s’y rapporte, enfin d’engager nombre de démarches, par exemple auprès de la caisse d’allocations familiales ou des organismes de sécurité sociale, sans produire une copie papier recto-verso de la carte nationale d’identité. Selon les cas de figure, il s’y ajoutera la demande d’une copie de la fiche d’imposition, ainsi que d’un justificatif de domicile, autrement dit une facture d’eau, de gaz ou d’électricité.

L’utilité de l’identité numérique ne laisse aucun doute. Prouver sa majorité sur Internet en donne un autre exemple.

Mme Coralie Héritier. Les progrès que la CNIe amène avec elle font présager une évolution rapide dans le sens que nous souhaitons. L’autorité nationale de la sécurité des systèmes d’information (ANSSI) vient de publier un référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID).

Lorsque nous parlons d’écosystème, nous nous interrogeons sur la manière d’adopter, grâce aux technologies disponibles, des solutions qui répondent aux usages que vous décrivez. Des prescriptions réglementaires, des référentiels adaptés nous le permettent dans des conditions de sécurité et de confiance qui garantissent l’intégrité ainsi que la fiabilité des données, et empêchent l’usurpation d’identité. Tel est bien l’un des objectifs que la CNIe poursuit.

M. Romain Galesne-Fontaine. Vos exemples, M. le rapporteur, ne manquent pas d’intérêt. Ils montrent combien la fourniture d’une identité numérique, outre qu’elle constitue un enjeu sur le plan de la sécurité, représente, ou peu s’en faut, un chantier de transformation culturelle. Elle emporte la modification d’un certain nombre de processus administratifs. Au préalable, il nous appartient de nous figurer comment ces services peuvent évoluer à l’aune du numérique.

Nous voyons qu’il s’agit à présent de travailler concomitamment à la conception d’une identité sécurisée et de penser la relation à l’usager à l’ère du numérique. Ainsi dédoublé, l’effort requiert davantage de temps. Néanmoins, nous le pouvons considérer comme suffisamment avancé sur ces deux aspects pour affirmer que la CNIe, qui ouvre la possibilité de lui associer une identité numérique, offre désormais un outil efficace en vue d’une amélioration à brève échéance des services mis à la disposition des usagers.

M.  Philippe Latombe, rapporteur. Bien que la CNIe soit prête, les usages ne suivront pas immédiatement son entrée en vigueur. Il suffit que nous songions à la carte vitale en matière de sécurité sociale. Le réflexe n’est manifestement pas encore celui d’une identité numérique à part entière. Dans les prochaines années, nous aurons toujours besoin d’un titre d’identité physique. La fracture numérique existe dans notre pays. Quand même elles en disposeront, des personnes n’utiliseront pas l’identité numérique et lui préféreront l’élément strictement physique de la carte pour justifier de leur identité.

La remarque me conduit à revenir, après vous M. Galesne-Fontaine, sur les auditions que nous avons tenues la semaine passée. Quoique vous affirmiez le contraire, il me paraît en ressortir que l’ANTS ne dispose plus, faute d’un effectif suffisant d’experts, de la maîtrise totale du projet. Vous semblez avoir pris une forme d’ascendant sur l’agence.

Je l’illustrerai par un exemple : actuellement, l’ANTS recherche un chef de projet CNIe.

C’est pourquoi je vous pose sans détour la question de savoir si la CNIe se situe réellement à l’état de l’art du point de vue de la sécurité. Nombreux sont ceux qui prétendent le contraire et estiment qu’elle accuse un retard dans ce domaine. À leur avis, d’autres pays en proposent le même format depuis plusieurs années ; certains ont indiqué depuis une grosse dizaine d’années.

Je prolongerai ma question par celle-ci : que coûte à l’État la production de la nouvelle CNIe ?

M. Romain Galesne-Fontaine. Sur votre première question, je rappellerai que l’Imprimerie nationale aurait été en mesure de produire une carte en polycarbonate dès 2012. Tel en était le projet. Des cartes de ce type existent donc depuis longtemps.

Pour autant, le fait que la nouvelle carte d’identité utilise le même matériau que des titres sortis dix ou quinze ans plus tôt revient-il à dire qu’elle présente des sécurités en tous points identiques aux leurs ? Je le répète : la réponse est négative. Je vous la donne en ma qualité d’expert industriel de l’identité. À l’Imprimerie nationale, nous travaillons pour plus d’une trentaine d’États à travers le monde, nous produisons régulièrement des titres d’identité modernes qui s’appuient sur les dernières innovations.

La CNIe française ne s’écarte pas de cette exigence. Elle comprend par exemple un dispositif holographique tout à fait original qui, composé de nanomatériaux, se distingue de l’habituel hologramme.

Au surplus, je n’affirme pas seul que la CNIe correspond à l’état de l’art en matière de sécurité. Pensez-vous que les forces de l’ordre françaises et l’ANTS, qui en ont supervisé le projet, en auraient validé la réalisation s’il en allait autrement et si elles avaient constaté que la carte ne répondait ni à leurs besoins ni à leurs prescriptions ? Je répète ici que l’Imprimerie nationale leur a soumis une architecture de sécurité destinée soit à prévenir les tentatives de fraude, soit à atteindre des objectifs de contrôle de sécurité sur le titre. La décision finale de valider cette architecture ne lui revenait pas.

M.  Philippe Latombe, rapporteur. Sous l’angle des spécificités techniques, le format de CNIe, tel qu’il existe aujourd’hui, applique-t-il l’ensemble des préconisations que les spécialistes de la police aux frontières et de la gendarmerie nationale ont formulées ?

M. Romain Galesne-Fontaine. L’Imprimerie nationale s’est vu prescrire ce que nous appelons des cibles de sécurité. Elle devait y ajuster la nouvelle carte d’identité qu’elle mettait au point. Pour les atteindre, notre expertise tant nationale qu’internationale, notre veille technologique permanente, nous ont permis de combiner des éléments innovants de sécurité avec des solutions aussi robustes qu’éprouvées.

Nous ne saurions condamner des techniques qui ont apporté la preuve de leur efficacité en matière de sécurité au seul motif de leur ancienneté. À ce jour, nous n’avons connaissance d’aucun phénomène de fraude massive réussie sur nos titres français en polycarbonate. Jouant leur rôle, les sécurités en place ont permis de détecter immédiatement, à l’occasion d’un contrôle, les rares tentatives de fraude.

Mme Coralie Héritier. J’ajoute que l’ensemble des acteurs qui interviennent dans l’élaboration de la carte française ont exporté les technologies qu’ils mettent en œuvre. Ailleurs qu’en France, des titres d’identité les utilisent. Elles se conforment aux exigences en vigueur, notamment aux normes européennes. En aucune façon une moindre rigueur ne s’y attache dans le projet français.

M. Romain Galesne-Fontaine. Une partie des sécurités des titres que l’Imprimerie nationale produit, qu’il s’agisse des permis de conduire, des titres de séjour ou de la nouvelle carte d’identité, correspondent à des sécurités réglementaires. L’Union européenne les impose.

M.  Philippe Latombe, rapporteur. Nous pourrions aussi nous interroger sur le point de savoir si la France trouve systématiquement un intérêt à reprendre à son compte les technologies que d’autres États utilisent.

Pour ce qui a trait au refus de recourir à la photographie couleur, je vous avoue n’avoir toujours pas saisi la raison qui le motive. J’entends l’explication relative au rachat d’une entreprise française par une entreprise américaine. Néanmoins, quand j’interroge des experts, y compris parmi les forces de l’ordre, on m’explique que la photographie en noir et blanc pose un problème opérationnel aux agents sur le terrain et que la couleur lui serait préférable.

Or, nous nous retrouvons avec une CNIe qui contient une photographie en noir et blanc. Pourtant, nous possédons la technique de la couleur, que nous ne manquons pas d’exporter. Le représentant d’IDEMIA, que nous auditionnions le 1er avril dernier, nous a indiqué que son entreprise l’employait. Pour leur part, grâce à leur partenariat avec leur entreprise nationale Veridos, les autorités allemandes, comme celles d’autres pays, utilisent une photographie en couleur sur leur CNIe.

Vous nous signaliez qu’en France, la demande d’une photographie en noir et blanc, ou en tons de gris, émanait de l’ANTS. Du moins ne vient-elle pas des forces de l’ordre.

Je réitère par ailleurs ma question sur le coût de revient, pour l’État, de la CNIe. À quel montant ce coût s’élève-t-il, à l’unité et tout compris ?

M. Romain Galesne-Fontaine. Nous pourrons partager avec vous, M. le rapporteur, les informations relatives au coût de la CNIe à la condition indispensable que l’ANTS y donne préalablement son accord exprès. Dans l’immédiat, au cours d’une audition publique, je ne puis vous les communiquer pour d’évidentes raisons de confidentialité.

Mme Coralie Héritier. Sans me prononcer quant à l’intérêt d’une photographie en couleur sur un titre d’identité, je signalerai que la nouvelle CNIe donne aux forces de police des possibilités de contrôle supplémentaires. C’est par exemple le cas du cachet électronique visible. Il facilitera leur travail sur le terrain.

M. Yann Haguet. La carte d’identité française fait appel à trois types de sécurité.

Nous venons de discuter en détail des sécurités physiques. Comme M. Romain Galesne-Fontaine l’a indiqué, elles correspondent à celles en vigueur dans la majorité des pays. Ici, notre devoir consiste à observer les pratiques qui prévalent, tout en nous assurant de la maturité des solutions que nous intégrons à notre projet.

À l’autre bout de la chaîne, la puce apporte elle-même un certain nombre de sécurités. Entre les deux extrémités, le cachet électronique visible (CEV) offre un premier niveau de lecture et de contrôle automatisé.

Au total, la duplication des éléments de sécurité confronte les éventuels fraudeurs à autant de barrages contre leurs intentions malveillantes.

Revenons à la question de la photographie en couleur. Dans l’élaboration de la CNIe, pour chacun de ses composants, pour tout élément de sécurité, l’un des points essentiels tenait à l’exigence de diversifier nos fournisseurs. Comme nous l’avons précédemment expliqué, nous devions nous assurer de la disponibilité d’au moins deux sources d’approvisionnement.

Or, les techniques de gravure de photographies en couleur disponibles sur le marché présentent la particularité d’être toutes différentes entre elles. De plus, aucune n’a complètement démontré sa capacité à traiter des volumes de l’ordre de ceux qui intéressent la France. Jusqu’à présent, les projets qui y ont recouru trahissent ce que j’appellerai, courtoisement, une marge de progrès.

Sans remettre en cause vos témoignages de l’appréciation des forces de l’ordre, sachez que, parmi elles, des acteurs considèrent aussi que les dégradés de gris de la gravure laser donnent d’intéressants résultats en matière de contrôle et de détection des fraudes, là où les techniques en couleur peuvent pêcher en raison de caractéristiques différentes de sensibilité et de granularité de leur impression. Pour les forces de l’ordre, l’aspect essentiel du métier de contrôle consiste d’abord à se forger, à partir de l’image, une appréciation globale de points remarquables du visage, qu’elles comparent à la personne à qui elles font face. Elles n’analysent pas nécessairement le détail de la couleur. Assurément, il s’agit ici d’un débat d’experts et des avis divergents s’y feront toujours entendre.

En tout état de cause, la CNIe française ne saurait nourrir nul sentiment de malaise. Bien au contraire, il convient de reconnaître qu’elle intègre les meilleures techniques du moment, tant sous l’angle de sa sécurisation physique que du contenu de sa puce électronique. Peut-être y reviendrons-nous au cours de notre échange, c’est précisément dans cette puce que nous trouvons la base indispensable à la construction d’une identité numérique.

M.  Philippe Latombe, rapporteur. Pour en terminer sur le problème de la couleur, je signale que les Allemands connaissent une problématique de volumes au moins comparables aux nôtres, voire supérieurs. Ils n’en utilisent pas moins une photographie en couleur.

À présent, évoquons en effet la puce de la CNIe, en particulier du point de vue de son évolution. La validité de la nouvelle carte court pendant dix ans. Une deuxième version en est-elle prévue ? Dans l’affirmative, à quel horizon ? À l’inverse, le même titre est-il appelé à se maintenir en l’état pendant la décennie qui s’ouvre ?

Au sujet de la norme 105, vous avez, M. Galesne-Fontaine, fait valoir un manque de recul pour une intégration immédiate à la CNIe. Cependant, des usages de l’identité numérique nécessiteront vraisemblablement que cette norme, ou un équivalent, soit tôt ou tard mise en application. Ce constat suppose une évolution du titre d’identité. Comment alors procéderons-nous ?

M. Yann Haguet. M. Galesne-Fontaine l’a souligné, la CNIe est d’ores et déjà configurée et prête pour l’identité numérique. Son système d’exploitation (operating system) et sa puce comprennent deux compartiments.

L’un, le compartiment ICAO, équivaut à celui d’un passeport. Il contient l’identité régalienne. À la manière d’un passeport, il remplit la fonction que la réglementation européenne définit, celle qui permet à un citoyen de franchir les frontières internes à l’Europe. Son contrôle peut être automatisé.

L’autre, le compartiment d’identité numérique, respecte un standard français issu, entre 2019 et 2020, de l’intervention conjointe de l’ANTS, de France Identité numérique et des industriels, dont l’Imprimerie nationale, Thales et IDEMIA. Son déploiement ne suppose plus que son activation et, par un canal séparé et sécurisé, la transmission d’un code PIN à chaque citoyen français. Une fois activé, ce conteneur n’autorisera en effet son accès en lecture qu’à la condition que le possesseur du titre renseigne son code confidentiel.

Dès à présent, la CNIe contient donc un volet identité numérique. Il ne reste qu’à mettre en œuvre l’infrastructure d’un fournisseur d’identité. Ce fournisseur pourra être public ou, si la réglementation le prévoit, privé. Son rôle consistera à administrer l’identité numérique associée à la CNIe. Il interviendra par exemple si le titulaire de l’identité victime d’un vol souhaite révoquer sa carte.

Ainsi que le mentionnait Mme Coralie Héritier, il sera également possible d’étendre, ou « dériver », l’identité numérique associée à la CNIe à son utilisation à partir d’un smartphone. Une telle extension permettra deux types d’authentification pour des services publics ou privés.

La première, une identification de niveau élevé, au sens que lui donne la définition du Règlement européen eIDAS, se destine aux transactions les plus importantes, telles que l’ouverture d’un compte bancaire, la souscription à un emprunt bancaire ou la délivrance d’une procuration de vote. Elle impliquera que l’usager approche la carte de son téléphone et saisisse son code confidentiel.

La seconde servira à des transactions d’un niveau de sécurité substantiel. On estime qu’elles recouvrent 80 ou 85 % des cas de figure. Elles ne nécessitent pas de recourir à la carte, l’identité numérique dérivée contenue dans le téléphone étant alors jugée suffisante.

Vis-à-vis d’un fournisseur d’identité, ces possibilités techniques impliquent que la réglementation lui permette d’utiliser le conteneur, ou compartiment, siège de l’identité numérique. Le fait qu’une décision rapide d’activation de ce conteneur puisse intervenir dès la délivrance de la CNIe requiert encore que son possesseur dispose de la faculté de s’enregistrer sans délai auprès d’un fournisseur d’identité. L’activation de l’identité numérique s’effectuera soit à partir d’un ordinateur personnel, après renseignement du code confidentiel, soit auprès d’un guichet public. Par l’intermédiaire de FranceConnect, elle rendra possible la connexion aux portails publics ou privés qui auront autorisé son utilisation.

Le fait que le service FranceConnect fonctionne déjà, qu’il ait récemment obtenu de l’ANSSI la reconnaissance d’un niveau élevé d’authentification au sens du Règlement eIDAS, qu’il définisse le format dit « pivot » des données à transmettre par chacun des fournisseurs d’identité, permettra à l’avenir un recours des plus étendus à l’identité numérique issue de la CNIe.

M.  Philippe Latombe, rapporteur. Si je vous entends bien, la CNIe laissera à son détenteur le choix de son fournisseur d’identité, un fournisseur public ou privé ?

M. Yann Haguet. Techniquement, rien du moins ne s’y oppose. Il reviendra à la réglementation de préciser le dispositif, les conditions d’utilisation du conteneur et celles de l’agrément donné aux fournisseurs d’identité.

M.  Philippe Latombe, rapporteur. La semaine dernière, Mme Valérie Péneau, inspectrice générale de l’administration, directrice du programme interministériel France Identité numérique, nous expliquait que, de son point de vue, aucun marché ne se dessinait pour une identité numérique privée. L’identité numérique lui paraissait ressortir exclusivement à la mission régalienne de l’État.

Votre analyse contredit apparemment la sienne. Pensez-vous qu’il y ait place pour un marché privé de l’identité numérique ?

M. Yann Haguet. Je m’appuierai sur l’expérience d’IN Groupe à l’exportation. M. Romain Galesne-Fontaine le signalait, nous déployons l’identité numérique ailleurs qu’en France, notamment à Monaco. Notre pratique montre qu’une place existe tant pour un fournisseur d’identité régalien, autrement dit public, que pour des fournisseurs privés ou semi-privés.

Un fournisseur d’identité public garantit le niveau de sécurité le plus élevé. Il s’accorde avec le principe de gratuité qui, souvent, concerne la fourniture de l’identité ainsi que l’accès aux services publics.

Il n’en reste pas moins envisageable d’autoriser un système de fournisseurs privés ou semi-privés. Il existe dans certains pays. En France, La Poste, voire IN Groupe, pourraient revêtir cette qualité. Un tel système implique que les fournisseurs d’identité s’engagent à donner l’accès à des portails de services publics, au moins à un niveau de sécurité substantiel, par exemple, pour le paiement des impôts. Ils se rémunèrent alors auprès des fournisseurs de services en ligne qui recourent à l’identité numérique.

M. Romain Galesne-Fontaine. Pour compléter ce propos, j’estime qu’il serait opportun de reprendre les différentes études économiques qui ont concerné le sujet, à la lumière de la survenue de la crise sanitaire et des conséquences qu’elle entraîne. Sans doute ne mesurons-nous pas pleinement combien la situation que nous vivons depuis plus d’un an provoque une accélération de la mutation numérique de nos modes de vie, qu’il s’agisse des usages privés ou des pratiques professionnelles.

Nous pensions déjà nécessaire de fournir une identité numérique dans un cadre à la fois public et privé. Désormais, il nous apparaît que le bouleversement que nous connaissons rend d’autant plus attractif un marché pour des fournisseurs d’identité privés. La décision en revient à l’État. L’agrément qu’il donnera aux fournisseurs d’identité veillera à leur respect des règles de sécurité et de confidentialité des données personnelles.

Au sein de l’Imprimerie nationale, nous reconnaissons à ces données un caractère unique. Elles nous paraissent requérir l’emploi des plus hauts niveaux de protection. En dernière analyse, du strict respect de cette exigence dépend l’adhésion des usagers aux systèmes d’identité numérique. Les usagers doivent recevoir la double assurance que leur fournisseur d’identité n’utilisera pas leurs données personnelles à leur insu et qu’il se révélera en mesure de protéger ces données contre toute atteinte extérieure.

M.  Philippe Latombe, rapporteur. La fourniture de l’identité numérique correspond-elle à un segment d’activité sur lequel IN Groupe entend se positionner ?

M. Romain Galesne-Fontaine. En effet, avec la perspective d’accélérer la mise en place de l’identité numérique en France, nous nourrissons l’ambition d’en devenir un fournisseur. Nous interviendrions en complément de solutions d’identité régaliennes. Les technologies dont nous disposons nous permettraient d’assurer, en application du Règlement eIDAS, le niveau substantiel de sécurité.

M.  Philippe Latombe, rapporteur. Vos propres ressources internes vous suffiraient-elles ? Pourriez-vous vous passer de partenariats ?

M. Romain Galesne-Fontaine. Je vous le confirme. Nos moyens nous autorisent à prétendre à un statut de fournisseur agréé d’identité numérique, pour autant que l’État crée ce statut.

Mme Coralie Héritier. Comprenons que tous les acteurs auront une place à prendre. En tant que telle, l’identité citoyenne ne peut exister seule.

Sur un plan numérique, l’identité est susceptible de revêtir différentes formes. Il s’agira par exemple d’un certificat électronique. Cependant, dans les divers services et applications auxquels elle donnera accès, il lui faudra être associée à d’autres facteurs d’identification.

L’idée de multiplier ces facteurs gagne en importance. Le code confidentiel en est un. Il importera qu’ils se complètent entre eux, afin d’atteindre le plus haut niveau possible de confiance.

Ne concevons pas la CNIe comme le sésame unique qui répondrait à l’ensemble des besoins. Un véritable écosystème de l’identité numérique existe déjà. Il tend à s’étoffer, il se développe avec l’évolution des techniques. Pour leur part, les usages connaissent une croissance considérable. Ils requièrent l’emploi des facteurs multiples d’authentification que j’évoquais.

De ce point de vue, la gestion des identités numériques, celle de leur cycle de vie, s’avérera fondamentale. Une réglementation devra l’étayer. Le rôle d’en contrôler le respect incombera vraisemblablement à l’ANSSI.

M. Philippe Latombe, rapporteur. Nous accusons un tel retard sur le sujet de l’identité numérique qu’il est à craindre qu’il ouvre une porte, comme dans d’autres domaines avec les Google, Apple, Facebook, Amazon et Microsoft (GAFAM), à des entreprises privées qui imposent leurs propres standards. Non sans raison, des collègues parlementaires ont adressé un courrier au Premier ministre dans lequel ils mettent en exergue l’ampleur de notre retard. En comparaison d’autres États européens, celui-ci est indéniable.

M. Yann Haguet. Je souhaite apporter un complément de réponse sur la question de la maintenance du titre d’identité. Vous nous interrogiez sur le devenir de la CNIe pendant les dix années de sa validité et sur ses éventuelles versions successives.

N’importe quel titre d’identité représente un état des techniques de sécurité disponibles à un instant précis. Il s’ensuit une forme de course-poursuite, aux échéances plus ou moins rapprochées dans le temps, avec les fraudeurs. L’apport de sécurités supplémentaires peut devenir nécessaire à tout moment.

Par le passé, avec les titres à sécurités purement physiques, la fréquence de nos interventions s’espaçait dans le temps. Dorénavant, l’emploi de l’électronique, de systèmes d’exploitation, d’algorithmes cryptographiques, conduit à la resserrer. En quelque sorte, le temps s’accélère.

Pour les cartes prochainement émises, IN Groupe a proposé à l’ANTS le recours à un gestionnaire du cycle de vie du titre et des versions de son système d’exploitation. Il lui reviendrait de procéder, en cas de besoin, à des opérations de maintenance de sécurité, de modifier ou d’activer des algorithmes de cryptographie, voire d’intégrer de nouvelles applications informatiques.

Un titre d’identité qui comprend une dimension électronique doit évoluer avec son environnement. Garantir que la CNIe assure sa fonction, y compris pour sa partie identité numérique, impose au minimum de respecter les contraintes du référentiel général de sécurité (RGS). Ces dernières prévoient le changement régulier des clés utilisées pour cryptographier les données et le processus qui permet d’y accéder.

Par ailleurs, en accord avec l’ANTS et sous sa direction, des phases de décision de nouvelles versions du titre interviendront. Elles correspondront à l’émergence de besoins ou usages, ainsi que vous le mentionniez M. le rapporteur, ou tiendront compte de celle d’autres règles ou contraintes européennes. La situation s’en est présentée avec l’actuel titre de séjour français. L’ancienneté de sa version dite V1 remonte à moins de dix ans. Voilà six mois, il a fallu redéfinir une nouvelle version, afin d’intégrer les évolutions que l’Union européenne imposait.

Un titre d’identité vit. Le principe de départ veut que son possesseur le détienne pendant dix années. Sauf cas exceptionnel, durant toute cette période, sa version initiale ni son apparence globale ne font l’objet d’une remise en cause radicale. En revanche, de réguliers changements de clés et, si nécessaire, des adaptations et mises à jour de sécurité en accompagnent l’existence.

Les versions des titres évoluent donc. Il est ainsi permis d’imaginer, d’ici à quelque temps, une version V2 de la CNIe.

M. Philippe Latombe, rapporteur. Quelle entité assurera-t-elle le suivi ? IN Groupe jouera-t-il ce rôle ?

M. Yann Haguet. Tout changement dans le système d’exploitation, toute introduction d’un élément de sécurité destiné à y combler une faille, suppose des échanges et l’activation de mécanismes dans un réseau plutôt fermé d’acteurs.

La décision d’opérer des changements relève du ressort de l’ANTS, en coordination avec l’ANSSI.

Selon les circonstances, nous pouvons envisager, soit une modification qui ne concerne que les futurs titres, soit à l’inverse une modification qui affecte l’ensemble de ceux déjà distribués, soit, dans les situations les plus graves, un remplacement pur et simple de la carte.

Certains cas de figure justifieront un retour de l’usager devant les services de sa mairie. Moyennant des authentifications et des contrôles, des changements de clés mineurs pourront s’effectuer depuis un ordinateur personnel ou un smartphone.

M. Philippe Latombe, rapporteur. Soumettez-vous la CNIe à des tests de vulnérabilité, aussi bien physiquement qu’électroniquement, afin de la protéger contre les atteintes des faussaires ou des pirates informatiques ?

M. Yann Haguet. Nous réalisons évidemment de tels contrôles de sécurité. Chacun des industriels parties prenantes à la conception de la carte, en particulier de sa puce électronique et de son système d’exploitation, participe sous le contrôle de l’ANSSI et de laboratoires indépendants à un processus de qualification et de certification. Ce processus doit démontrer que la carte remplit les critères de sécurité attendus, que ses mécanismes de défense atteignent le niveau de complétude et de sécurité souhaités.

J’ajoute que nos fournisseurs ont l’obligation de répéter régulièrement leurs cycles de certification et de prouver que leurs solutions demeurent valides au cours du temps. À cette occasion, l’identification d’un risque peut conduire à l’ajout d’un correctif.

Le fait que le titre inclut de l’électronique et des systèmes d’exploitation emporte qu’un nombre accru de mécanismes entrent en ligne de compte dans sa maintenance.

M. Philippe Latombe, rapporteur. Je vous poserai une question en rapport avec la commande publique. Comment IN Groupe favorise-t-il l’émergence ou la consolidation d’acteurs, ainsi que leur excellence sur la scène internationale, sur les aspects de sécurité des titres d’identité ?

Certes, IN Groupe assure directement, en interne avec ses compétences, un certain nombre de réalisations, mais il en sous-traite également d’autres. Comment vous y prenez-vous ? Privilégiez-vous d’abord vos propres compétences avant que de vous adresser à l’extérieur ? Passez-vous systématiquement des appels d’offres ou procédez-vous de gré à gré ?

M. Romain Galesne-Fontaine. Je l’ai dit, le rôle de l’Imprimerie nationale est celui d’un intégrateur agnostique des meilleures technologies du marché. Même s’il possède certaines d’elles en propre, IN Groupe ne travaille pas isolément. Dans le cas de la CNIe, il compte plus d’une quinzaine de partenaires privés, dont le groupe Atos, associés à la fourniture des différents composants du titre.

Il nous tient à cœur d’animer ce que je qualifie d’écosystème. Chaque année, notamment pour l’élaboration des titres d’identité sécurisés, l’Imprimerie nationale recourt aux services de plus de 400 sociétés réparties sur l’ensemble du territoire français. Les retombées économiques en représentent plusieurs dizaines de millions d’euros.

Quant aux titres sécurisés, nous respectons systématiquement le cadre légal et réglementaire de la commande publique auquel nous sommes soumis. La sélection de l’intégralité des composants stratégiques de la CNIe n’a pas échappé au principe. Ici, la procédure de la commande publique nous permet d’appliquer scrupuleusement notre obligation de diversification de nos sources d’approvisionnement par le choix d’au moins deux fournisseurs pour chacun des composants. Nous garantissons ainsi à l’État sa capacité à délivrer sans interruption ses titres d’identité pendant toute la durée de leur validité.

M. Philippe Latombe, rapporteur. S’agissant de la CNIe, il nous intéresserait que vous nous précisiez les valeurs de la répartition entre ce qu’IN Groupe réalise directement et ce qu’il sous-traite par la commande publique.

Dans l’immédiat, je n’attends pas de réponse chiffrée, vous nous l’apporterez plus tard. Vous nous signaliez précédemment que, sur les aspects de coûts, il vous fallait obtenir l’accord préalable de l’ANTS. En revanche, peut-être pouvez-vous déjà nous communiquer un ordre d’idée de la répartition ?

M. Romain Galesne-Fontaine. Pour des raisons de sécurité, je ne puis non plus indiquer le nombre exact des composants stratégiques qui entrent dans la fabrication de la CNIe. Je vous disais qu’il avoisinait une quinzaine. L’Imprimerie nationale n’en fournit que deux. Vous obtenez là un aperçu assez clair du ratio qui vous intéresse.

M. Philippe Latombe, rapporteur. À ceci près que l’étendue des prestations respectives et de leurs montants, qu’en l’état nous ignorons, est susceptible de relativiser considérablement la pertinence d’une conclusion hâtive.

Sous l’angle de la souveraineté, prêtez-vous une attention particulière à la nationalité de vos fournisseurs potentiels ? Au contraire, ce critère n’entre-t-il pas en ligne de compte ?

M. Romain Galesne-Fontaine. L’ensemble de nos achats respectent les principes de la commande publique. Nous agissons dans la stricte limite que ces principes nous fixent.

Parmi les fournisseurs des composants de la CNIe, nombreux sont ceux d’origine française ou européenne.

M. Philippe Latombe, rapporteur. Voulez-vous aborder un sujet que nous n’aurions pas encore évoqué ?

M. Yann Haguet. Il convient de souligner combien la réussite du déploiement de l’identité numérique renvoie aux usages, à leurs approches, aux conditions de création d’un écosystème. Sans doute l’expérience de Mme Coralie Héritier au sein du groupe Atos et du CSF des industries de sécurité lui permet-elle de se forger une opinion sur la probabilité du succès de l’entreprise ?

Mme Coralie Héritier. Je vous avouerai ma perplexité quant à la raison pour laquelle la mission d’information m’a invitée à intervenir devant elle. Je note que la plupart des questions ont concerné l’Imprimerie nationale. J’aurais souhaité un débat à l’objet moins resserré. Cependant, je vous ai exprimé mon point de vue sur ce que l’identité numérique citoyenne devrait recouvrir.

Chez Atos, nous retenons une acception large des questions numériques ; nous considérons la transformation numérique en général. À notre sens, l’identité numérique en forme certes un pilier, mais non le seul. Il faut lui ajouter toutes les infrastructures, le cloud de confiance à qui il revient de supporter le volume des données, les outils, concevoir au surplus des socles mutualisés à destination de l’administration publique. À la vérité, bien des sujets nous permettraient d’étendre la discussion au-delà de la seule CNIe.

M. Philippe Latombe, rapporteur. La semaine dernière, lors de notre audition de Mme Valérie Péneau, nos questions relatives aux usages des identités numériques ont trouvé peu d’écho. En toute franchise, notre interlocutrice fut assez évasive. Il semblerait que nous ignorions encore ce que seront ces usages.

Pour l’heure, l’utilisation de l’identité reste plus physique que numérique. Sans doute appartient-il à cet égard à l’administration française de changer de paradigme et de mode de fonctionnement. L’identité s’inscrit au cœur de la transformation numérique de