Compte rendu

Mission d’information de la Conférence des Présidents « Bâtir et promouvoir une souveraineté numérique nationale et européenne »

 Audition, ouverte à la presse, de Mme Diane Dufoix-Garnier, directrice des affaires publiques, et M. Michel Gesquiere, responsable des ventes d’IBM                            2

 

 


Mardi
9 mars 2021

Séance de 10 heures

Compte rendu n° 36

session ordinaire de 2020-2021

Présidence de
M. Jean-Luc Warsmann,
président

 


  1 

Audition, ouverte à la presse, de Mme Diane Dufoix-Garnier, directrice des affaires publiques, et M. Michel Gesquiere, responsable des ventes d’IBM

La séance est ouverte à 10 heures.

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Je souhaite la bienvenue aux représentants de la multinationale américaine IBM que nous recevons, Mme Diane Dufoix-Garnier, directrice des affaires publiques d’IBM, MM. Michel Gesquiere et M. Leo Hamon.

Nous avons auditionné plusieurs acteurs du cloud au mois de février. Nous recevrons également les représentants de Microsoft, Amazon et Google.

Votre audition s’inscrit dans notre réflexion sur la souveraineté numérique et la façon dont les entreprises technologiques appréhendent cet enjeu. Je suis très heureux, ainsi que mes collègues, de pouvoir échanger avec vous sur la transformation numérique des entreprises, mais aussi de l’État, et sur la manière de conjuguer la protection des intérêts technologiques nationaux et européens avec le développement de nouvelles technologies en Europe.

M. Philippe Latombe, rapporteur. Je souhaiterais solliciter votre avis sur trois sujets.

En tant qu’entreprise privée américaine, spécialisée dans les produits et services informatiques, comment percevez-vous la montée en puissance du thème de la souveraineté numérique dans le débat public, en France, mais aussi en Europe ? Cette problématique se traduit-elle différemment selon vous dans les autres pays où elle se pose ? Comment pouvez-vous participer à sa promotion ou à sa protection, dans un contexte où vous pouvez être soumis au respect de certaines lois extraterritoriales ? Je pense par exemple au « Clarifying Lawful Overseas Use of Data Act » (Cloud Act), mais il en existe d’autres.

Quelles technologies seront critiques dans les prochaines années ? L’entreprise IBM, créée en 1911, s’est fortement diversifiée. Elle offre désormais des produits s’appuyant, par exemple, sur l’intelligence artificielle et la blockchain. À l’initiative du gouvernement et des acteurs privés, des initiatives ont été prises en France sur ces segments technologiques cruciaux dans le plan de relance et le programme d’investissements d’avenir (PIA). Comment jugez-vous en conséquence le niveau d’investissement de la France dans ces domaines ? Quels bouleversements technologiques pourraient se produire dans les prochaines années, et sur quelles « technologies de rupture » devrions-nous cibler nos financements ?

Enfin, j’aimerais vous entendre sur le cloud et plus généralement sur la transformation numérique des entreprises. Comment jugez-vous l’appétence à se numériser des acteurs publics et privés en France ? Quelles sont les attentes de vos clients dans ce domaine ? Une culture du risque lié aux enjeux de cybersécurité est-elle en train d’émerger face à la nécessité pour les entreprises de recourir massivement au numérique, en période de crise, pour poursuivre leurs activités ?

Mme Diane Dufoix-Garnier, directrice des affaires publiques d’IBM. Je vous remercie de nous accorder cette audition, que nous avons sollicitée et qui nous tient à cœur. Nous travaillons beaucoup et depuis longtemps sur l’objectif de souveraineté numérique, qu’IBM comprend. Nous souhaitons la bâtir et la promouvoir également à notre échelle, dans nos relations avec nos clients, et nous sommes donc prêts à y contribuer, à la hauteur des possibilités d’une entreprise technologique et dans la continuité de notre investissement en Europe.

Vous avez posé de nombreuses questions, toutes très intéressantes. Avant d’y répondre, je souhaiterais vous présenter rapidement IBM. Aujourd’hui, IBM est une entreprise globale, multinationale, présente dans plus de 170 pays, et depuis plus de cent ans en France et en Europe. Du fait de cette histoire, des liens ainsi créés et de la présence territoriale d’IBM en France, la France occupe pour IBM une place stratégique, comme l’Europe en général.

Pour une entreprise technologique, IBM présente en effet la spécificité d’être fortement implantée en région, par exemple à Lille où nous disposons d’un centre de développement de logiciels et d’un centre de cybersécurité. IBM dispose également de centres de recherche et développement (R&D) à divers endroits du territoire, notamment sur l’intelligence artificielle (IA) à Paris-Saclay et à Sophia-Antipolis, d’un centre technologique sur le cloud computing à Nice, avec des experts technologiques de ces sujets, et, à Montpellier, d’un centre sur les infrastructures, et, depuis 2018, d’un pôle portant sur les technologies quantiques.

IBM a également tissé des liens importants avec des entreprises emblématiques du tissu économique français, et qui lui font confiance, depuis longtemps, pour se transformer : Orange, la SNCF, le Crédit Mutuel, Michelin et BNP Paribas, par exemple, et certaines font appel à IBM à propos d’enjeux importants comme la traçabilité alimentaire (Carrefour, Labeyrie) ou la santé. Nous travaillons ainsi avec l’ETI Guerbet sur l’aide au diagnostic de cancers du foie et plus récemment de la prostate.

IBM est donc peut-être la plus européenne, ou la plus française, des entreprises multinationales ou des entreprises américaines. C’est ce que nous voulions vous faire appréhender avec ces quelques éléments de présentation.

Notre métier a beaucoup évolué, mais son « fil rouge » a toujours été de concevoir des technologies numériques à la fois performantes et sécurisées, pour aider nos clients à identifier les bons usages et à se transformer, pour être plus compétitifs. Cette philosophie a toujours guidé l’action d’IBM dans son histoire : dans les années 1960, avec la création des grands systèmes et de la disquette ; dans les années 1980, où IBM s’est davantage centrée sur le BtoC avec la création des PC ; et jusqu’à nos jours, où nous mettons l’accent sur l’intelligence artificielle ; le cloud, que nous développons dans une logique hybride et ouverte (qu’il sera important de présenter à cette mission), avec le rachat en 2018 de Red Hat, un acteur clé de l’open source ; et le Quantum désormais.

En somme, notre approche vise à permettre à chacun de nos clients d’être souverain technologiquement, à l’échelle de nos relations d’entreprises. En effet, IBM est d’abord, aujourd’hui, une entreprise du BtoB, qui a pour seule mission d’aider ses clients à créer de la valeur grâce aux technologies ou à partir de leurs données. Elle a notamment fait le choix stratégique de ne pas entrer en concurrence avec ses clients. La stratégie hybride et ouverte d’IBM dans le cloud constitue un autre élément important de la manière dont elle entend aider ses clients à être souverains technologiquement. Cette stratégie fait écho à la doctrine cloud définie par l’État en 2018. Une stratégie hybride et ouverte consiste à permettre aux entreprises d’exploiter de façon sécurisée leurs données ou leurs applications, sur différents environnements : en local, sur des clouds privés, des clouds publics, et des clouds multiples, c’est-à-dire incluant des clouds IBM, comme d’autres fournisseurs, et ce, de manière totalement interopérable et avec une portabilité des données. Parce que nous pensons que telle est la demande du marché, nous nous sommes engagés dans un axe fort consistant à donner aux entreprises la possibilité de déplacer elles-mêmes leurs données et leurs applications où elles le souhaitent, entre des infrastructures dédiées et mutualisées comme entre différents cloud providers, en fonction de leurs contraintes de performance et de sécurité. Avec certains clients, comme BNP Paribas en France, nous allons encore plus loin, en les aidant à construire leur propre solution cloud hybride et ouverte, qui intègre donc des éléments privés (qui leur appartiennent) et les éléments publics que peut apporter IBM grâce à ses investissements R&D dans le cloud, y compris public, en conformité avec les exigences de régulation et de souveraineté.

Ceci répond déjà à une partie de vos questions sur la souveraineté. Je continuerai à y répondre, en prenant un peu de distance, pour vous faire part de nos recommandations plus générales à ce sujet, en tant qu’entreprise technologique. Chacun convient que la crise que nous vivons a mis en lumière deux enjeux majeurs de résilience et de souveraineté de nos entreprises. Dans ce cadre, IBM considère le numérique comme une réponse incontournable, dans la mesure où il constitue un vecteur d’agilité et de compétitivité pour les entreprises. Il a d’ailleurs permis à de nombreuses entreprises de continuer à fonctionner durant la crise, et les investissements que nous y consacrons garantissent que les filières actuelles aient un avenir, ce qui constitue un enjeu central de compétitivité, donc de souveraineté, pour la France et l’Europe.

Notre première recommandation à cet égard est de continuer à accélérer la digitalisation des entreprises, donc à mener une politique extrêmement proactive pour renforcer l’offre technologique française et européenne, dans des secteurs stratégiques comme l’IA, le cloud, les données, le quantique (qui constitue un champ d’avenir très important, et sur lequel une véritable course internationale est lancée), et bien sûr la cybersécurité. Le secteur des données inclut la blockchain et l’Internet des objets (IOT), qui présentent des avantages certains en matière de transparence, de souveraineté et de protection des données.

Si renforcer l’offre technologique est important, il est assez naturel pour IBM, dont c’est le métier, de souligner l’importance d’y associer le développement des cas d’usage. En effet, si les acteurs technologiques développent des technologies sans considération pour les acteurs qui sont en train de se numériser, cela n’aura que peu d’impact. En quantique, par exemple, technologie sur laquelle IBM investit beaucoup, il est tout aussi important, pour la France et l’Europe, de créer les algorithmes de demain, qui, comme cas d’usage, permettront de tirer tous les bénéfices des technologies quantiques, que de construire ces technologies quantiques mêmes. Les deux démarches sont indissociables.

En matière d’investissement technologique, la question des compétences est également extrêmement importante. Je sais que vous l’avez prise en compte. La France dispose à cet égard de nombreux atouts. De nombreux collaborateurs d’IBM France s’impliquent d’ailleurs dans le domaine de la formation, en donnant des cours dans plus de cent établissements d’enseignement supérieur en France. L’investissement dans la formation doit aussi avoir pour objectif que chacun, au-delà des seuls profils de type Bac+5 ou plus, trouve sa place dans la société déjà extrêmement technologique d’aujourd’hui, et qui le sera encore plus demain. Parce que nous considérons qu’il est de notre responsabilité, en tant qu’entreprise, de développer de tels profils, nous travaillons notamment avec le ministère de l’Éducation nationale et d’autres entreprises (BNP Paribas, Orange, La Poste, Salesforce) sur un programme nommé « P-Tech » dans les lycées professionnels.

Notre deuxième recommandation au regard des débats sur la souveraineté numérique française est d’inscrire ces investissements dans une logique d’écosystèmes entre des acteurs publics et privés, et entre des acteurs divers au sein des acteurs privés. Chaque fois qu’il a été possible de renforcer une offre technologique pour en accroître la compétitivité, des écosystèmes forts étaient impliqués, comme c’est le cas à Sophia Antipolis ou à Saclay. La France et l’Union européenne ont donc tout intérêt à promouvoir des partenariats fondés sur des valeurs européennes partagées, avec des partenaires également conscients de l’importance des enjeux de souveraineté, et notamment des enjeux de sécurité et de portabilité, d’interopérabilité et de réversibilité, qui permettent de laisser la maîtrise aux utilisateurs de leur technologie. C’est ce que nous faisons depuis cent ans, et nous espérons pouvoir continuer ainsi à promouvoir en France une approche « ouverte » de la souveraineté technologique. Par exemple, des investissements publics et privés (notamment d’IBM) ont été annoncés sur les enjeux de transformation IA des entreprises. Avec le soutien de l’État, nous avons lancé en 2020 un projet structurant pour la compétitivité (PSPC), nommé « AIDA », et qui rassemble aux côtés d’IBM une ETI, deux PME et l’Université Paris-Saclay. Notre objectif est de piloter, depuis la France, un projet d’envergure mondiale permettant de positionner la France comme un leader mondial de « l’IA de nouvelle génération », car il s’agit d’un projet de R&D sur une nouvelle vague d’intelligence artificielle.

En dernière recommandation, IBM estime, depuis longtemps, que la souveraineté passe aussi par une forme de régulation, que nous appelons « régulation de précision », visant à cibler de façon proportionnelle les entreprises ou les usages les plus sensibles, quels que soient les secteurs, afin de ne pas freiner la compétitivité et l’innovation dans l’ensemble des usages. IBM soutient à cet égard la proposition d’un Règlement sur les services numériques, le Digital Services Act (DSA), qui régule le type de services proposés, la taille des acteurs, ainsi que leur impact sur la société. IBM fait partie des catégories d’acteurs auxquelles des obligations nouvelles s’imposeront dans ce cadre. La régulation de l’IA constitue un autre enjeu qui fera et fait déjà l’objet de nombreux débats européens. Dans ce domaine, nous sommes également favorables à une régulation ciblée sur les usages à haut risque. Cette approche, portée d’ailleurs entre autres par la France, dans un non paper publié en octobre, signifie qu’aucun secteur ne doit être ciblé ou exclu a priori, et qu’il ne faut pas réguler la technologie, mais ses usages, en se concentrant sur les plus risqués, grâce à des directives très claires permettant de les définir de manière matricielle.

En conclusion, IBM salue les stratégies de régulation récemment dévoilées par le gouvernement français ou l’Union européenne – la stratégie cybersécurité, la stratégie nationale pour le quantique en France – et les textes et outils qui les accompagnent – les espaces de données communs européens, le Digital Services Act, le Data Governance Act, etc. Des investissements massifs y sont associés, qu’ils soient publics ou privés. Ils manifestent un effort général.

M. Philippe Latombe, rapporteur. Vous avez commencé par présenter IBM comme une entreprise globale, proposant des clouds hybrides. L’extraterritorialité des règles américaines peut paraître en forte contradiction avec l’objectif de souveraineté, puisque IBM est soumis à ces règles, tandis que certains de ses clients pourraient demander que leurs données ne puissent pas partir aux États-Unis. Le cloud hybride constitue-t-il pour vous la seule solution pour, à la fois, rassurer ces clients et leur proposer des solutions réellement souveraines ? En tant qu’entreprise IBM, des agences américaines vous ont-elles déjà demandé de leur transférer des données présentes sur des serveurs ou des clouds vous appartenant ? Cette menace, qui fait beaucoup parler actuellement, correspond-elle à une réalité ? Nous n’arrivons pas à savoir si des demandes ont réellement eu lieu.

Mme Diane Dufoix-Garnier. Cette question me permettra de préciser la position qui est celle d’IBM France, mais aussi d’IBM US ou Corp. Nous considérons que « Compagnie IBM » (nom officiel de notre société française) est une société française indépendante, opérant en France. Cela signifie qu’IBM France n’est pas soumise à la juridiction d’autorités gouvernementales étrangères qui lui demanderaient de communiquer des données, que ce soit au titre du Cloud Act ou de toute autre législation équivalente. Le simple fait qu’IBM France soit la filiale d’un groupe américain amène souvent à penser qu’elle est soumise au droit américain, mais ce fait ne suffit pas à la soumettre au Cloud Act, et seul le droit français s’applique en réalité à IBM France, en France, du fait de sa structure juridique. IBM France et IBM Corp dans son ensemble s’engagent donc très fortement à contester toute demande qui lui serait adressée et qui ne relèverait pas de la compétence des juridictions françaises ou ne serait pas conforme au droit français. IBM France n’est pas une entreprise américaine, et à ce titre n’est pas soumise au droit américain ni aux injonctions de l’administration américaine.

S’agissant de la réalité de cette menace et du nombre de demandes que nous recevons, il faut d’abord rappeler qu’IBM est une entreprise du BtoB. Les données de nos clients ne constituent donc pas une priorité pour les demandes gouvernementales, et le cloud ne fait pas exception à cet égard. Nous ne recevons donc pas beaucoup de demandes. À ce jour, IBM a reçu extrêmement peu de requêtes dans le cadre du Cloud Act. Nous y avons répondu en appliquant scrupuleusement les positions que je vous ai exposées, et plus généralement nos principes en matière de remise des données aux acteurs gouvernementaux, aux agences ou aux juges, et ces positions ont été entendues par le gouvernement américain, puisqu’IBM n’a jamais eu à fournir de données au titre de requêtes Cloud Act. Dans les quelques cas où nous avons reçu une telle requête Cloud Act, le gouvernement américain a entendu notre approche, et a appelé à la voie de la coopération judiciaire liée au Mutual Legal Assistance Treaty (MLAT). Depuis trois ans, le Cloud Act n’a donc eu aucun impact sur l’accès aux données de clients français d’IBM, ou de tout autre client d’IBM situé hors des États-Unis.

Le cloud hybride constitue-t-il un rempart supplémentaire par rapport à cette première réponse très juridique, qui constitue une posture de gouvernance concernant notre structuration juridique ? Il fait en effet partie de notre « arsenal » de solutions de protection contre les enjeux de sécurité en général, y compris celui de l’extraterritorialité de certains droits. Nous disposons de solutions technologiques telles que le chiffrement, avec la mise à disposition des clés de chiffrement au client et à lui seul. Selon la sensibilité de ses données, nous pouvons également l’orienter s’il le souhaite, pour le protéger contre le risque d’extraterritorialité des droits, mais aussi contre le risque de cybersécurité en général, vers des solutions comme, par exemple, le cloud hybride. Notre premier rempart, et le plus important pour nous, reste cependant notre posture juridique et de gouvernance.

M. Philippe Latombe, rapporteur. Votre position, selon laquelle IBM France est soumise au droit français et n’est donc pas soumise au Cloud Act, n’est pas partagée par certains juristes, au motif notamment qu’un conflit entre Microsoft et les États-Unis à ce sujet n’est toujours pas réglé depuis 2013. Une demande d’information avait en effet été transmise à Microsoft Irlande, qui était de droit européen et communautaire, comme aujourd’hui IBM France. Ce conflit a désormais été renvoyé aux cours inférieures depuis la publication du Cloud Act. Par ailleurs, le Cloud Act s’applique aux entités juridiques, mais aussi aux serveurs. Pouvez-vous certifier à vos clients en France qu’IBM n’utilise aucun serveur d’une autre filiale ou entité du groupe IBM, qui, elle, serait soumise au Cloud Act sans pouvoir répondre qu’elle constitue une société française ? Garantissez-vous une étanchéité totale dans vos serveurs et dans la gestion de leurs données, que ce soit en matière de contrôle, de sécurité, de redondance, etc. ?

Mme Diane Dufoix-Garnier. La position d’IBM est en effet différente de celle d’autres grands acteurs internationaux, dont je ne connais cependant pas la structure juridique propre. IBM Corp considère que le droit des sociétés doit être pris en compte, et que la manière dont nous avons construit nos filiales en fait des entités juridiques absolument distinctes. Nos contrats et nos relations avec nos clients sont en effet construits de telle sorte que les filiales étrangères d’IBM Corp (y compris donc la filiale française) n’ont aucune activité commerciale aux États-Unis qui justifierait une applicabilité du Cloud Act. Et nous contestons l’idée, effectivement partagée par certains juristes, selon laquelle un simple lien en capital entre IBM US et une filiale étrangère d’IBM soumet cette dernière à la compétence légale des États-Unis. Dans les rares cas où cette position a dû être testée, elle a été entendue par la puissance qui a instauré le Cloud Act aux États-Unis.

Notre approche inclut toutefois plusieurs autres remparts. Bien avant le Cloud Act, IBM avait décidé de contester par tout moyen toute demande émise directement auprès d’IBM US qui ne suivrait pas les voies légales reconnues sur le plan international. Les principaux arguments que nous engagerions à cet égard consisteraient à indiquer que la demande concerne des données sous contrôle de la filiale française, qui n’est pas soumise au droit américain ; et que ces données ne sont pas en possession, sous la garde ou sous le contrôle d’IBM US, même si celle-ci est soumise à la compétence personnelle de l’État à l’origine de la demande. Cette posture est donc forte, et différente de celle d’autres acteurs, mais nous l’avons testée, et nous l’avions adoptée dès 2014, donc bien avant le Cloud Act. Toutes les entreprises du monde ont l’occasion de contester les injonctions d’un juge. Cela n’a rien de tabou aux États-Unis, et, selon le contexte, IBM utilisera tous les moyens disponibles en droit à cette fin.

M. Philippe Latombe, rapporteur. Le fait d’utiliser un produit construit d’abord aux États-Unis, comme Watson, ne constitue-t-il pas un lien qui permettrait juridiquement aux agences américaines de vous demander de transmettre les données collectées ou traitées par cet outil, qui, lui, a été créé aux États-Unis et est employé commercialement en France ? Ou bien avez-vous prévu un système de licence entre IBM Corp et IBM France, et alors comment fonctionne-t-il ? Qu’avez-vous prévu s’agissant de ce type d’innovations en matière d’intelligence artificielle, ou d’algorithmes que vous pourriez développer aux États-Unis et ensuite utiliser dans chacune de vos filiales à l’avenir ?

Mme Diane Dufoix-Garnier. Je comprends votre question, mais j’en reviens au fait que, par construction, IBM France est soumise au droit local, en raison de la manière dont nous avons construit nos relations commerciales en France avec nos clients. Même dans le cas où un lien existerait avec les États-Unis, notre posture de gouvernance, telle qu’elle est inscrite y compris dans nos contrats, consiste à affirmer qu’IBM US contestera par tout moyen une demande qui concernerait les données d’un client français, notamment. Des allers-retours juridiques pourraient être initiés par une demande qui nous serait adressée aux États-Unis, mais la filière française serait fondée à répondre que, par nature, en tant que société française ne pratiquant pas de business aux États-Unis, elle n’est pas soumise au Cloud Act ni à l’extraterritorialité de ce droit, quelles que soient ses interactions avec des solutions développées par IBM aux États-Unis.

M. Philippe Latombe, rapporteur. J’entends votre position, mais ce n’est pas la position aujourd’hui dominante parmi les juristes, notamment suite à l’invalidation du Privacy Shield par l’arrêt Schrems II. Nous aurons l’occasion, au cours de nos auditions ultérieures, comme en considération des audiences en cours devant le Conseil d’État et ailleurs, de faire le point à ce sujet.

Mme Diane Dufoix-Garnier. Dans le cas de Schrems II, l’arrêt de la Cour portait sur une question de transfert de données, et non sur une question d’extraterritorialité. Il a confirmé, en les assortissant de mesures renforcées, la validité des clauses contractuelles-types qu’IBM a toujours utilisées comme cadre principal pour le transfert des données, avec des mesures renforcées de protection que nous appliquons depuis des dizaines d’années. Suite à l’arrêt Schrems II, nous sommes allés encore plus loin en incorporant directement dans nos contrats notre politique d’engagement à contester toute demande qui ne passerait pas par notre client, mais serait réalisée hors des voies juridiques internationalement reconnues.

M. Philippe Latombe, rapporteur. Parmi les technologies d’avenir figurent pour vous l’intelligence artificielle et le quantique. Quel est l’avenir à moyen terme de ces technologies, pour lesquelles vous avez installé des centres de recherche en France ? À quoi serviront-elles dans la vie des entreprises ? Faut-il directement tourner les entreprises vers ces technologies, ou continuer à les numériser en conformité avec l’état de l’art actuel ?

Mme Diane Dufoix-Garnier. L’avenir de ces technologies tient à l’usage qui en sera fait par nos clients pour renforcer leur compétitivité. Comme je l’ai indiqué s’agissant du quantique, une technologie n’a pas d’intérêt si elle n’offre pas un usage pour l’industrie de demain, la santé de demain, les villes intelligentes, etc. Il existe un enjeu pour la France à se positionner à la pointe de ces technologies dans leur dimension « offre » : sur ce plan, il s’agit d’investir en R&D et de développer les compétences. Nous recommandons une logique d’écosystème, car certains acteurs ont, de manière privée, beaucoup investi dans ces technologies, et peuvent donc procéder à des transferts technologiques de savoir-faire. Cet enjeu est absolument fondamental. Avec le Crédit Mutuel, nous avons réuni une équipe commune en intelligence artificielle, avec une vingtaine d’experts d’IBM et une vingtaine du Crédit Mutuel qui développent ensemble l’IA du Crédit Mutuel. Des usages sont ainsi développés dans un travail en écosystème. Un enjeu de cas d’usage nous paraît fondamental, au-delà de l’investissement en R&D dans l’offre technologique elle-même.

Une question de compétences se pose également. Le quantique constitue un champ entier, qui n’en est encore qu’à ses prémices, même si les progrès sont rapides. À côté de l’investissement dans cette technologie (dans les ordinateurs, les simulateurs, etc.), l’enjeu est de constituer dès aujourd’hui des écosystèmes, par exemple avec de grandes entreprises françaises et des universités, pour développer les algorithmes quantiques qui seront probablement au centre des usages de demain.

M. Michel Gesquiere, responsable des ventes d’IBM. Notre stratégie pour les années à venir repose également sur le cloud hybride, qui est censé combiner « le meilleur des deux mondes ». En fonction de la criticité des applications concernées, qui est très différente dans le domaine industriel, bancaire ou des biens de grande consommation, il s’agit de permettre à nos clients de choisir de localiser leurs applications ou leurs données dans des environnements privés (plus protecteurs) ou dans des environnements publics, où il est possible de bénéficier de trois effets à l’impact économique extrêmement important :

– une économie d’échelle et une automatisation très importante ;

– l’innovation dans le monde ouvert des logiciels : en rachetant Red Hat, IBM s’est ainsi dotée d’une offre tirant parti de cette innovation dans le domaine du cloud ;

– et un mode économique consistant à disposer d’une puissance informatique ou d’une puissance de stockage basée sur la vente d’un service avec la flexibilité adéquate.

Cette stratégie nous paraît structurante pour les années à venir. Toutefois, deux évolutions technologiques devront s’y ajouter.

Nous pensons ainsi que le Quantum peut être adapté à certaines situations, certains algorithmes ou certains problèmes très particuliers. Par exemple, les algorithmes qu’il permettra de développer seront très adaptés à certains des problèmes d’optimisation qui se posent en finance et en logistique.

Le champ d’application de l’intelligence artificielle s’accroîtra considérablement également dans les années à venir. Elle a déjà été déployée dans le domaine de l’expérience « client ». Elle servira aussi d’assistant pour accroître la performance des employés : c’est en ce sens qu’elle est envisagée dans notre partenariat avec le Crédit Mutuel. L’automatisation des processus industriels passera également par l’intelligence artificielle. Avec l’IOT et la 5G, le nombre des données s’accroîtra et l’intelligence artificielle permettra de les transformer en éléments de compétitivité et d’automatisation des performances.

Certains problèmes trouveront donc une solution dans le Quantum, mais l’ensemble de la stratégie technologique d’IBM sera centré sur le cloud hybride, pour combiner à la fois la protection des données critiques dans certains secteurs et l’effet d’échelle ou d’automatisation qu’apportent les stratégies publiques.

M. Philippe Latombe, rapporteur. Pensez-vous que les collectivités, et les collectivités territoriales notamment, sont encore loin d’avoir atteint le niveau de numérisation qui devrait être le leur, et pensez-vous qu’elles ont intégré la notion de cybersécurité dans cette numérisation ? Au-delà des grands groupes, qui l’ont peut-être déjà intégré, cet enjeu est-il suffisamment prégnant dans les PME, les ETI et les collectivités territoriales ? Presque toutes les collectivités territoriales souhaitent aujourd’hui développer des smart cities. Ont-elles intégré la cybersécurité dans ce domaine, ou revient-il précisément aux acteurs privés, tels que vous, de leur en rappeler la nécessité ?

M. Michel Gesquiere. Nous pensons qu’une prise de conscience a eu lieu, mais qu’il reste beaucoup d’actions à mettre en œuvre. Dans le domaine du cloud, les sources décentralisées vont se développer de plus en plus, avec l’Edge computing, l’IOT et la 5G. Comme vous l’avez dit, les ETI ne disposent pas à cet égard des mêmes moyens que les grands groupes. Sur le marché de la cybersécurité, une accélération des investissements est prévue, en raison de l’accélération des menaces, mais aussi d’une plus grande fragilité du réseau des petites et moyennes entreprises, en raison des interconnexions croissantes dans les chaînes de valeur sous l’effet de la globalisation. Ce sujet est donc essentiel, et nous nous efforcerons d’accompagner les entreprises dans cet effort et les investissements qui seront indispensables à cet égard.

M. Philippe Latombe, rapporteur. Comment aborderez-vous ce marché ? Intégrerez-vous des solutions de cybersécurité à l’intérieur des produits que vous proposerez, ou sous-traiterez-vous à des sociétés spécialisées différents types de réponses à des menaces cyber, en utilisant des logiciels que vous rendrez interopérables avec vos propres systèmes ?

M. Michel Gesquiere. IBM propose à la fois des offres logicielles et des services permettant de les intégrer. En même temps, nous restons très humbles. Même si nous disposons d’une position forte, reconnue et historique dans le domaine de la cybersécurité, nous ne pouvons pas revendiquer d’avoir à notre disposition l’ensemble des solutions. Nous proposons donc les solutions logicielles dont nous disposons, et nous les intégrons, mais nous ouvrons aussi sur d’autres éditeurs, qui fournissent d’autres solutions logicielles, en particulier sur des sujets « de niche » très précis, et nous proposons à nos entreprises de les aider à les intégrer. Nous pensons ainsi que l’avenir est à l’intégration de solutions, qui peuvent être des solutions IBM ou non, l’important étant de disposer des services et de la gouvernance qui permettront d’intégrer l’ensemble.

Mme Diane Dufoix-Garnier. Nous faisons partie de la Charter of Trust, qui a été lancée par Siemens, Total ou Atos avec IBM, s’agissant des acteurs français. Conscients que personne ne résoudra seul le problème de la cybersécurité, nous cherchons à y mettre en place des bonnes pratiques ou des solutions permettant très concrètement d’augmenter notre niveau de compréhension de ces enjeux, et nos capacités de réaction. L’un des principes de cette Charter of Trust, sur lequel nous avons travaillé, est celui de la responsabilité à travers la chaîne de sous-traitance. Nous avons essayé de formaliser des principes et des standards très simples, accessibles y compris à une PME qui pourrait intervenir en sous-traitance d’un grand groupe, afin que chacun soit conscient des objectifs à atteindre.

M. Philippe Latombe, rapporteur. Ressentez-vous aujourd’hui des menaces plus prégnantes et d’un niveau supérieur à ce qu’il était précédemment ? Les hôpitaux ont subi des attaques récemment. Deviennent-elles plus sophistiquées et plus fréquentes ? Disposez-vous de moyens pour identifier leur origine ? La question s’est notamment posée de savoir si les attaques récentes sur Microsoft Exchange venaient d’un pays ou seulement de groupes souhaitant gagner de l’argent. La géopolitique impacte-t-elle la cybersécurité, et comment l’intégrer alors dans les systèmes critiques dont vous devez disposer en tant que fournisseur de solutions pour des banques, de grandes entreprises, des collectivités ou l’État ?

M. Michel Gesquiere. Les études réalisées montrent indéniablement que le nombre des attaques a augmenté en France et en Europe sur les douze derniers mois glissants.

Par ailleurs, les questions de cybersécurité rejoignent selon nous l’enjeu du cloud hybride. Plus les gouvernances répartissent adéquatement les applications et les données entre des environnements privés ou publics, plus les moyens existent, au-delà des seules techniques de protection, pour sécuriser les applications ou les données les plus critiques. C’est très vrai dans le secteur privé, et c’est probablement la raison pour laquelle la plus grande banque française et européenne, la BNP, s’appuie sur IBM pour développer sa propre solution, avec un niveau de sécurité extrêmement élevé.

Mme Diane Dufoix-Garnier. La menace est effectivement multiforme. Elle provient de nombreuses sources. Le partage d’intelligence et la coopération entre les acteurs, y compris publics, de la cybersécurité est essentielle à cet égard, et pour progresser en matière de détection. Notre centre de cybersécurité à Lille compte des experts qui travaillent à permettre de détecter une menace le plus tôt possible lorsqu’elle émerge, car on sait qu’il sera alors possible d’y réagir plus rapidement. Le campus Cybersécurité qui sera lancé constitue à cet égard une initiative française extrêmement intéressante, car personne ne sera en mesure de résoudre ce problème seul. Toutes les logiques d’écosystème comme celle-ci sont donc à encourager absolument.

M. Philippe Latombe, rapporteur. Souhaiteriez-vous évoquer d’autres points sur ces questions de souveraineté européenne et française ?

Mme Diane Dufoix-Garnier. Nous aurions simplement pu vous parler davantage de notre initiative P-Tech de développement des compétences, qui fait appel à des profils différents de ceux auxquels recourt traditionnellement notre industrie. Faire connaître cette initiative, qui est en cours de déploiement avec le ministère de l’Éducation nationale, serait très intéressant notamment pour convaincre d’autres entreprises de l’intérêt de s’associer à quelques lycées professionnels pour faire progresser l’inclusion par le numérique, qui constitue un enjeu important et enthousiasmant. Nous nous permettrons donc de vous adresser des éléments écrits à ce sujet.

M. Philippe Latombe, rapporteur. Nous les recevrons avec plaisir, d’autant que nous ouvrirons une séquence de nos auditions relatives à l’éducation dans les semaines à venir.

M. Michel Gesquiere. Nous avons beaucoup parlé de technologie, mais nous pensons vraiment que c’est son usage qui permettra aux États ou aux entreprises d’acquérir un avantage concurrentiel. Plus les technologies utilisées seront sophistiquées, comme l’intelligence artificielle, plus nous aurons besoin de différentes formes d’intelligences : il faudra des intelligences très cognitives pour concevoir les solutions, mais aussi des intelligences très pratiques pour penser les usages et l’insertion de ces solutions dans le corps social des entreprises. À cet égard, l’initiative P-Tech a un rôle essentiel à jouer, non seulement en faveur de l’inclusion, mais aussi d’une plus grande efficacité, en permettant de trouver le bon usage et la bonne intégration de ces solutions sophistiquées au sein des entreprises. Entre la performance, la compétence et les différentes formes d’intelligence, un lien existe, qui est absolument clé.

 

La séance est levée à 11 heures.

————

 

Membres présents ou excusés

 

Mission d'information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »

Réunion du mardi 9 mars 2021 à 10 heures

Présents. – MM. Éric Bothorel, Philippe Latombe, Jean-Luc Warsmann

Excusées. – Mme Frédérique Dumas, Mme Nathalie Serre