— 1 —

La séance est ouverte à treize heures cinq.

M. le président Philippe Latombe. Nous débutons aujourd’hui les auditions de la commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France.

Nous cherchons à mesurer la vulnérabilité des administrations publiques vis-à-vis de technologies et d’infrastructures digitales développées ou opérées par des acteurs extra-européens, ainsi que la vulnérabilité des données que ces administrations conservent. Il s’agit aussi d’évaluer la dépendance de notre pays à des technologies et services fournis par un nombre très réduit d’entreprises, et d’examiner dans quelle mesure des solutions françaises ou européennes peuvent constituer des alternatives, et à quelles conditions.

Pour notre première audition, je souhaite la bienvenue à M. Henri Verdier, directeur général de la fondation Inria (Institut national de recherche en sciences et technologies du numérique) et ancien ambassadeur pour le numérique.

Monsieur Verdier, je vous remercie de nous déclarer tout autre intérêt public ou privé de nature à influencer vos déclarations. Je vous rappelle que l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter serment de dire la vérité, toute la vérité, rien que la vérité.

(M. Henri Verdier prête serment.)

M. Henri Verdier, directeur général de la fondation Inria et ancien ambassadeur pour le numérique. Je m’exprime en tant qu’ancien ambassadeur pour les affaires numériques, ancien directeur de la direction interministérielle du numérique (Dinum) – qui s’appelait alors la direction interministérielle du numérique et du système d’information et de communication de l’État (Dinsic) – et en tant qu’actuel directeur de la fondation Inria. Je précise cependant que je ne parle pas au nom d’Inria dont vous rencontrerez un représentant, je l’espère, pour parler de recherche et de prospective. Je n’ai par ailleurs aucun autre intérêt que mon emploi.

Ce propos liminaire répond déjà à une première série de questions que vous m’avez adressée. Vous touchez à un sujet d’une importance majeure et je ne comprends pas que les gens ne le perçoivent pas. Nous avons tout sous les yeux : l’affaire du juge Guillou, des preuves d’espionnage, des serveurs qui se font débrancher, des dominations sur des segments entiers de l’économie, des réseaux sociaux que nous n’arrivons pas à réguler. Et pourtant, les choses ne bougent pas beaucoup.

Votre première question portait sur l’achat de logiciels. Toutefois il est nécessaire d’élargir la perspective. La dépendance concerne également le hardware que nous ne sommes plus en mesure de produire nous-même, mais aussi la cybersécurité, domaine dans lequel nous accusons un retard de plusieurs années sur l’Agence nationale de sécurité des États-Unis (NSA). Certes nos compétences dans ce domaine sont réelles, néanmoins, certains États disposent de capacités dont il nous est difficile de connaître l’étendue. Cette dépendance s’étend aussi aux infrastructures stratégiques : près de 80 % des nouveaux câbles sous-marins sont déployés par les Gafam, ce qui traduit une privatisation progressive de l’infrastructure physique elle-même. On oublie également que toute une partie de notre économie repose sur des données qui nous semblent aller d’elles-mêmes, par exemple la géodésie, qui permet d’étudier la hauteur du Mont Blanc ou le niveau des marées. Or cette discipline dépend d’une infrastructure américaine qui n’est plus financée depuis près d’une décennie et qui risque à terme de s’effondrer. La dépendance touche aussi les grands services d’accès à l’information : les réseaux sociaux, les moteurs de recherche, et plus largement, tous ces acteurs que les textes européens qualifient parfois d’acteurs systémiques ou de gatekeepers. La domination dépasse donc largement l’achat de logiciels par nos entreprises et nos administrations.

C’est grave car cela se traduit par une domination économique, avec une évasion de valeur puisqu’on achète à l’extérieur, mais surtout par une domination sur les chaînes de valeur, à laquelle nous ne prêtons pas assez attention. Vous souvenez-vous du rapport publié en mars 2025 par l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses) sur la condition des livreurs Deliveroo ? Il met en lumière la vie infernale de ces travailleurs qui ne rencontrent plus ni collègues, ni supérieurs hiérarchiques. Soumis à un management algorithmique, ils reçoivent des stimulus de data (données) toute la journée et leur salaire horaire a diminué de 35 % en deux ans. Nous sommes tous en passe de devenir des chauffeurs Deliveroo ! Lorsque le numérique, l’intelligence artificielle (IA) et les infrastructures critiques s’introduisent au cœur des chaînes de valeur, les tarifs sont réajustés pour accroître les profits. De ce fait, un certain nombre d’entreprises françaises sont en passe de devenir des sous-traitants d’industries dont la valeur ajoutée réside dans le numérique ou dans l’IA.

La domination se manifeste également par l’imposition de standards technologiques et idéologiques. En matière d’IA, l’Europe peine à imaginer sa propre voie, enfermée dans une logique de course au gigantisme. Celle-ci repose sur l’idée qu’à terme, émergeront fatalement une ou deux gigantesques IA comptant des milliers de milliards de paramètres et mobilisant de gigantesques data centers. Pourtant, la Chine, l’Inde et beaucoup de chercheurs européens considèrent que cette trajectoire n’est pas l’avenir de l’IA. C’est un effet de domination idéologique.

Rappelons également que cette dépendance nous rend particulièrement vulnérables à l’espionnage qui est systématique. Dans le cas des États-Unis, cette pratique s’appuie sur un cadre juridique qui autorise les administrations américaines à accéder aux données sous juridiction américaine. Quant à la Chine, l’espionnage y relève d’un véritable sport national. Cette dépendance nous expose à des risques majeurs en cas de conflit et nous rend vulnérables à des opérations de manipulation de l’information.

Enfin, nous sommes extrêmement fragiles face à des mesures de rétorsion ou de représailles. L’affaire du juge Nicolas Guillou en constitue l’exemple le plus patent. Ce juge français de la Cour pénale internationale (CPI), en faisant son travail, a déplu au président Trump. Ce dernier, de manière unilatérale, a signé un executive order (décret présidentiel) plaçant le juge Guillou sous le coup de sanctions initialement conçues pour lutter contre l’organisation terroriste Daech. Le juge Guillou – et, potentiellement, les membres de sa famille – est désormais privé de l’accès à tout service reposant, directement ou indirectement, sur des infrastructures américaines ou sur des systèmes de paiement américains. En l’espace d’une nuit, il a perdu l’accès à des services tels qu’Uber, Amazon, Netflix, Deliveroo, et même à certains services français, dès lors qu’à un moment donné de la chaîne logistique ou du processus de paiement intervient un acteur soumis au droit américain, comme PayPal. Une telle situation résulte d’une décision entièrement unilatérale et arbitraire.

Ce cas n’est pas isolé. Les sanctions concernent une demi-douzaine de juges de la CPI, ainsi que certains fonctionnaires des Nations unies. Le juge Guillou rappelle d’ailleurs que l’Europe dispose d’un instrument juridique susceptible de répondre à ce type de situation : le règlement de blocage, qui n’a pourtant jamais été activé. On pourrait, à tout le moins, demander aux entreprises européennes d’éviter tout excès de zèle et de ne pas céder à ces injonctions. La situation apparaît ainsi, à bien des égards, particulièrement préoccupante.

J’aimerais vous présenter plusieurs remarques générales qui sont aussi des réponses à vos questions.

Pour commencer, j’insiste sur le fait qu’il faut sortir d’un raisonnement trop général : il n’y a pas un unique problème de vulnérabilité, de dépendance ou de souveraineté. Il faut prendre en compte les spécificités des questions que soulèvent les réseaux sociaux, le matériel informatique, l’accès aux terres rares, les câbles, l’industrie ou l’administration. Et bien sûr, il n’y a pas une unique solution. Il me semble que l’exemple du cloud tend à occuper une place disproportionnée dans le débat public. Il est agaçant de constater que les entreprises françaises ont un niveau technique comparable aux meilleurs standards internationaux, mais qu’elles peinent à déployer des stratégies commerciales et marketing équivalentes à celles de leurs concurrents américains. On voit bien qu’avec des politiques de soutien – discrimination positive ou achat public –, on pourrait faire des progrès substantiels. La situation apparaît toutefois beaucoup plus complexe dans d’autres domaines comme l’IA ou les réseaux sociaux.

Deuxièmement, l’indépendance absolue n’existe pas, y compris aux États-Unis. Quand Donald Trump a annoncé une taxe supplémentaire sur les importations de biens chinois, Pékin a répondu en menaçant d’augmenter le prix des terres rares. Le différend a pris fin en trois semaines. Toutes les puissances se trouvent dans des situations de dépendance réciproque. Le véritable enjeu consiste à parvenir à un équilibre dans les rapports de force, afin de ne pas être traité comme quantité négligeable – ce qui, à l’évidence, n’est pas encore le cas. Il s’agit donc de construire une posture et une capacité d’autonomie stratégique sans pour autant viser une autarcie complète ou la création de filières strictement nationales ou européennes. Il faut rééquilibrer les rapports de force de manière à pouvoir dialoguer d’égal à égal et à ne pas se voir imposer des solutions dont nous ne voulons pas.

Pour parvenir à cette autonomie stratégique, c’est mon troisième point, je voudrais insister sur la diversité des approches à adopter. Rappelons tout d’abord qu’un vrai marché concurrentiel est une forme d’autonomie raisonnable. Une centaine de fournisseurs qui se battent loyalement et tentent de faire la meilleure offre pour remporter le marché, c’est une forme saine de souveraineté. La situation devient problématique lorsque les marchés deviennent monopolistiques, sont biaisés par des enjeux politiques ou reposent sur des modèles économiques prédateurs.

L’intégration verticale à l’échelle nationale peut aussi être une réponse appropriée, comme on l’observe dans le secteur de la défense. Rappelons toutefois que remplacer un monopole américain, adversaire assumé de la démocratie, par son équivalent français, n’améliorerait ni la situation démocratique ni la liberté du marché. Autrement dit, si l’intégration nationale peut parfois représenter une solution adéquate, il est essentiel de maintenir des positions fermes en matière de régulation des monopoles. Il ne suffit pas de changer la nationalité du tyran.

J’observe, en Inde, une approche très intéressante fondée sur le développement des infrastructures publiques numériques, une mise en œuvre réussie de ce que j’appelais il y a quelques années l’État plateforme. Prenons l’exemple du paiement. L’État impose l’existence d’interfaces de programmation d’application (API) gratuites que toutes les banques sont obligées d’implémenter. Les entreprises privées sont ensuite libres de développer leurs propres services de paiement – plus de six cent sont ainsi en concurrence. Google garde une part de marché majoritaire, mais ne possède ni les données ni l’infrastructure et n’a donc pas la capacité d’exclure ou de déconnecter les autres acteurs. Les Indiens se sentent, à raison, en sécurité : le marché et la concurrence fonctionnent mais au sein d’infrastructures sous contrôle public. Ces dernières ne sont d’ailleurs pas coûteuses. Elles reposent sur un design d’API et une architecture logique, sans grands serveurs ni vastes data centers.

Souvent relégués au second plan, les logiciels libres, les standards ouverts et les grands communs numériques, tels qu’OpenStreetMap ou Wikipédia, constituent enfin un élément à part entière de l’arsenal de la souveraineté numérique. Ces ressources ne nous permettent certes pas de contrôler l’ensemble du système, mais elles ont le mérite d’empêcher qu’un acteur unique ne s’en empare. Ces approches peuvent relever de stratégies défensives européennes car nous détenons un savoir-faire ancien en la matière – souvenons-nous que la France a contribué à l’établissement du système métrique il y a plus de deux siècles. Elles offrent en outre des perspectives de coopération avec les économies émergentes, qui se méfient des relations de dépendance vis-à-vis de l’Europe. Le recours à des codes ouverts et à des standards adaptables peut, au contraire, constituer un signal d’ouverture et de partenariat.

Il existe, en définitive, au moins quatre leviers qu’il ne faudra pas hésiter à actionner tous pour s’approcher d’une autonomie stratégique : soutenir l’émergence de start-up, promouvoir l’intégration nationale, renforcer les cadres de régulation et encourager les standards ouverts.

Quatrième point, l’Europe constitue-t-elle l’échelon pertinent pour construire la souveraineté numérique ? L’action européenne peut apparaître décevante, lente ou encore marquée par des divisions internes. Pour autant, s’agissant de la régulation, je demeure convaincu que l’échelle européenne est la plus pertinente, et ce pour au moins deux raisons. La première tient au fait que l’Union européenne avait précisément promis aux entreprises un espace économique débarrassé de la fragmentation des cadres juridiques nationaux, afin qu’elles puissent évoluer au sein d’un marché unifié et soumis à une régulation constante. Il ne faut pas revenir sur cette promesse, d’autant que cette fragmentation demeure l’une des causes de nos fragilités structurelles. La seconde est liée au poids économique du marché européen, suffisamment important pour qu’il soit difficile de s’en passer. Rappelez-vous l’épisode qui a conduit à l’adoption de la directive européenne sur le droit d’auteur. La presse a commencé à revendiquer une rémunération pour l’utilisation de ses contenus auprès de sites comme Google News puisque les lecteurs les consultaient sur les plateformes sans se rendre sur les sites des journaux. L’Espagne fut le premier pays à tenter d’imposer une telle mesure. La réaction de Google fut de couper Google News en Espagne. Lorsque l’Allemagne envisagea une initiative similaire, Google laissa entendre qu’elle réagirait de la même manière. En revanche, lorsque la directive européenne sur le droit d’auteur fut adoptée, Google commença à payer des droits voisins à la presse européenne.

S’agissant des stratégies de recherche, de réindustrialisation, d’innovation, etc., la situation est différente. Nous avons tout intérêt à créer une dynamique européenne forte, ce qui ne signifie pas que les États doivent forcément s’aligner, ni qu’il faut attendre un consensus. Dans la pratique, la France a souvent été en avance de phase, que ce soit en adoptant des textes législatifs ou réglementaires ou en lançant des initiatives comme l’Appel de Christchurch ou l’Appel de Paris. Nous sommes capables de jouer un rôle moteur en Europe.

Mon dernier point répond aux nombreuses questions portant sur l’achat public auquel je rattache les débats actuels sur la Dinum. Tout d’abord, rappelons qu’une des raisons de l’impact de l’achat public aux États-Unis est d’ordre structurel : à la fin de la guerre froide, le complexe militaro-industriel américain s’est reconverti en complexe numérique. Or la dépense militaire américaine s’élève à 1 000 milliards de dollars, tandis que la nôtre n’atteint que 2,6 milliards de dollars. Les ordres de grandeur, les masses financières et l’écosystème de financement aux États-Unis n’ont pas d’équivalent chez nous.

Ensuite, je souhaite revenir sur des affirmations qui me semblent inexactes. Pendant les six années au cours desquelles j’ai exercé la direction de la Dinum, j’ignorais le montant total des dépenses informatiques de l’État. Je connaissais le périmètre sur lequel j’exerçais une autorité, à savoir celui des directions des systèmes d’information (DSI) ministérielles. Mais une part importante des dépenses informatiques se situent hors de ce périmètre : chez les opérateurs de l’État, au sein de grandes infrastructures publiques, sans même évoquer les collectivités locales. À cela s’ajoutent de nombreuses dépenses plus diffuses : lorsque les services de communication font des sites web ou des petites applications qui ne relèvent pas directement du champ d’intervention de la Dinum. Ces dépenses ne sont pas toujours identifiées comme telles dans la comptabilité publique, car l’État ne dispose pas d’une véritable comptabilité analytique. Il y a sans doute des progrès à faire en la matière, car la destination précise d’une partie des dépenses informatiques de l’État demeure difficile à établir. Si l’on se concentre sur le périmètre des directions des systèmes d’information (DSI) ministérielles – qui recouvre principalement les grands systèmes d’information d’infrastructure, tels que les systèmes de paiement, de gestion de la paie, de gestion de carrières ou des mouvements nationaux des enseignants – les dépenses informatiques de l’État s’élèvent à environ 4 milliards par an.

La Dinum n’a pas autorité sur les DSI ministérielles. Sa mission consiste à animer un réseau interministériel. Elle peut édicter des cadres comme le référentiel général de sécurité ou celui relatif à l’accessibilité, mais elle n’intervient ni dans le recrutement ni dans la détermination des budgets. Ses prérogatives demeurent limitées : elle peut notamment suspendre un projet de plus de 8 millions s’il lui semble mal conçu – 8 millions, c’est déjà beaucoup d’argent.

Sur les 4 milliards par an consacrés aux DSI ministérielles, 2 milliards correspondent aux achats de licences comme Microsoft, SAP, Oracle, etc. et l’autre moitié est employée à de gigantesques projets qui durent parfois cinq, dix ou même quinze ans, qu’il s’agisse de concevoir le système de paie des militaires ou de gérer les ressources humaines de l’Éducation nationale – des projets qui sont souvent conduits de manière insatisfaisante. Ces 4 milliards représentent une somme relativement modeste : elle équivaut à environ la moitié de ce que la BNP consacre à l’informatique, sachant que cette banque est réputée pour être l’un des établissements les plus dépensiers dans ce domaine. Cela signifie, à mes yeux, que l’État n’ose pas véritablement s’engager dans le numérique, faute de le maîtriser suffisamment. De nombreux domaines n’ont pas encore été numérisés, précisément parce que cette transformation suscite crainte et appréhension. On sait qu’il faudra deux ans pour lancer un marché public, trois pour analyser les offres, puis cinq pour mettre en œuvre le projet retenu, qui sera un échec. Donc on repousse l’échéance le plus tard possible. À cause de ces réticences, l’État n’a pas vraiment embrassé la révolution numérique.

Parallèlement, la Dinum, dont le budget s’élève à 50 millions d’euros, mène de nombreuses actions. Elle a notamment lancé, à mon initiative, le programme des start-up d’État. Mon objectif était de réintroduire au sein de l’administration des méthodes agiles, des politiques publiques fondées sur la donnée (data-driven policies), le développement dit DevOps, ainsi que des pratiques de ressources humaines capables d’attirer une plus grande diversité culturelle et des profils rares ou atypiques. J’étais convaincu – et je le maintiens – que lorsqu’une organisation ne sait plus produire elle-même, elle ne sait plus acheter. Je pourrais citer des dizaines d’exemples de factures vingt fois trop chères, simplement parce que les achats avaient été réalisés à l’aveugle. Je pourrais vous parler de DSI ministérielles comptant près de mille personnes, dont seulement deux développeurs, tous les autres étant des acheteurs. Mon prédécesseur, Jacques Marzin, estimait qu’un certain ratio devrait être respecté : selon lui, il fallait environ un fonctionnaire pour trois développeurs dans les phases de conception, et un fonctionnaire pour cinq développeurs dans les phases d’exécution. Je ne sais pas si ce ratio est le bon, mais il est certain qu’on ne peut pas se contenter de la situation actuelle. J’ai vu des projets dans lesquels l’État avait successivement acheté les spécifications, puis le cahier des charges, puis l’assistance à la sélection du fournisseur, puis la prestation elle-même, et enfin les tests de recette. L’État n’avait strictement rien produit lui-même. À un moment donné, la faiblesse insigne de l’État constitue en elle-même un problème.

L’État n’a pas vocation à se substituer au secteur privé et il n’a jamais été question qu’il devienne, par exemple, un opérateur de cloud. En revanche, dans certaines situations, il faut être capable de faire bouger les lignes. J’en veux pour exemple la messagerie instantanée Tchap, que j’ai contribué à lancer. Ce service, réservé aux fonctionnaires, coûte aujourd’hui 11 centimes par an et par agent public. Il compte 400 000 utilisateurs hebdomadaires sur un potentiel de deux millions de fonctionnaires, dont tous n’ont pas besoin d’une messagerie. On peut considérer qu’il s’agit d’un succès raisonnable. À l’époque où je dirigeais la Dinum, la meilleure offre s’élevait à 20 euros par an et par agent public. Face à un tel écart, il me paraît légitime que l’État envisage une autre stratégie, en soutenant, par exemple, un éditeur de logiciel libre pour qu’il améliore son produit. S’il est évident que l’État a un rôle à jouer dans le dynamisme économique du pays en soutenant les entreprises françaises – je parle en connaissance de cause pour en avoir moi-même créé trois –, il doit les aider à réussir dans la compétition internationale, non les placer dans une situation protégée, à l’abri de toute concurrence, en pratiquant des tarifs trop éloignés des prix de marché. Dans un tel contexte, elles risqueraient de ne jamais trouver d’autres clients. L’exemple de Tchap n’est pas complètement honnête puisqu’il compare une offre datant d’une dizaine d’années avec un service aujourd’hui stabilisé. Néanmoins l’écart de prix était à l’époque considérable, de l’ordre d’un facteur dix.

Pour conclure, le cœur du problème est avant tout d’ordre culturel – et c’est un terrain sur lequel il est possible d’agir. J’espère que vous auditionnerez un jour Guillaume Poupard, qui a dirigé le pôle Sécurité des systèmes d’information du ministère des armées puis pendant quasiment dix ans l’Agence nationale de la sécurité des systèmes d’information (Anssi). Il m’a rapporté une conversation avec le dirigeant d’une entreprise du CAC40 à qui il conseillait de ne pas héberger ses données chez Amazon Web Services, en raison des risques d’espionnage. Son interlocuteur lui avait alors répondu qu’il n’avait pas de preuves. Cela illustre bien l’état d’esprit qui prévaut : on tend à considérer le numérique comme une simple fonction support, un peu ingrate, au même titre que l’immobilier ou la cantine, alors qu’il s’agit d’une fonction éminemment stratégique. Dans les entreprises, ce sujet devrait avoir une place au niveau du comité exécutif ; dans l’administration, il devrait relever de directeurs d’administration centrale, capables d’instruire le ministre sur des décisions stratégiques. À cela s’ajoute une culture, très répandue parmi les DSI, tant dans le secteur privé que dans le secteur public, qui consiste essentiellement à acheter des solutions plutôt qu’à savoir coder soi-même. Lorsque l’on évoque l’existence d’alternatives libres, plus sécurisées et moins coûteuses, à des solutions à 2 millions par an et concentrant une large part des attaques cyber, beaucoup ne disposent pas des compétences pour envisager un tel changement.

Il ne s’agit donc pas seulement de dénoncer la dépendance ou l’inaction de l’État, mais de mener un travail de pédagogie et de sensibiliser au fait qu’un autre monde numérique est possible. Il existe de nombreuses alternatives, déjà mises en œuvre ailleurs et qui ne sont pas nécessairement plus coûteuses. Elles impliquent simplement de travailler autrement, de structurer des équipes différemment, de s’allier avec de nouveaux écosystèmes et de développer de nouvelles logiques de partenariat. C’est une question vitale.

M. le président Philippe Latombe. Vous évoquez la nécessité d’amorcer un travail culturel. En tant qu’ancien directeur de la Dinum et ancien ambassadeur pour le numérique, avez-vous observé, au-delà de la réticence culturelle, un entrisme de la part de certaines sociétés étrangères, qui a pu rendre la réception de votre discours sur les alternatives plus difficile au sein de l’administration ? Avez-vous rencontré le même problème avec vos homologues européens ?

M. Henri Verdier. Pour les administrations, la question se pose certes, mais la difficulté tient surtout au fait que les DSI se comportent avant tout comme des acheteurs publics et n’ont pas les compétences pour procéder autrement. Il est vrai que leur formation continue est assurée par quelques grands acteurs très installés sur le marché, si bien qu’ils ne connaissent même pas l’existence d’alternatives. Le principal enjeu consiste à reconquérir la capacité de produire et de raisonner de manière autonome, de chercher et d’expérimenter de nouvelles solutions. Cela suppose aussi de repenser les dispositifs de formation continue. La question se pose de manière identique dans le privé. Toute structure de plus de mille personnes tend à se ressembler.

En ce qui concerne l’Europe, le problème est plus grave, vous le savez. Il y a plusieurs sujets. Lorsque j’ai commencé à être ambassadeur pour le numérique il y a huit ans, les positions françaises étaient souvent perçues comme cocardières, voire arrogantes. Lorsque nous évoquions la souveraineté numérique européenne, nous étions accueillis avec un sourire sceptique. Les pays du nord de l’Europe, très soucieux des libertés individuelles et de la liberté d’expression, voyaient dans notre discours une tentation bonapartiste. Les pays de l’ancien bloc de l’Est rappelaient volontiers que les États-Unis les avaient libérés et qu’il n’était donc pas question pour eux de les contrarier. Les pays de la façade atlantique de l’Europe, très attachés au libre-échange et au commerce avec les États-Unis, souhaitaient conserver cet équilibre. Quant aux pays du sud de l’Europe, de culture très littéraire, plutôt tournés vers d’autres axes de commerce international comme les routes de la soie, ils étaient préoccupés par d’autres dynamiques. En quelques années, la situation a beaucoup évolué et lors de ma dernière réunion avec mes homologues européens, certains m’ont dit, sur le ton de la plaisanterie, que les analyses françaises s’étaient révélées en partie fondées. L’un d’entre eux a même ajouté que le président Trump avait transformé les Britanniques en Européens et les Européens en gaullistes. La situation évolue donc, même si certains réflexes restent profondément ancrés.

Par ailleurs à Bruxelles, comme vous le savez, il y a plus de lobbyistes que de parlementaires. Leur technique ne consiste pas tant à murmurer des contre-vérités à l’oreille des dirigeants qu’à tout complexifier. Je pense notamment au règlement européen sur l’intelligence artificielle, l’AI Act, qui compte 450 pages et dont plus personne n’est capable d’expliquer le contenu. Ce règlement est le résultat de ce travail de complexification et de ramification infinie. Je ne sais pas si on peut parler d’entrisme, encore moins de corruption, mais il y a un engagement énorme, très financé, et relativement efficace des lobbyistes pour entraver le travail de régulation.

Vous me demandiez enfin dans vos questions écrites : le cadre européen peut-il fonctionner ? On pouvait raisonnablement penser que le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA) – qui sont des textes magnifiques, très élégants et surtout synthétiques – fourniraient un cadre pour résoudre deux énormes problèmes : la concentration du marché et la régulation des contenus. La beauté du DSA réside dans une forme de neutralité : ni l’État ni l’Europe ne sont les gardiens de la vérité. Ce texte cherche plutôt à créer un cadre de conformité au sein duquel les entreprises choisissent elles-mêmes leurs stratégies. Elles ont pour seule obligation de rendre des comptes sur les moyens déployés pour traiter des problèmes comme les contenus terroristes, le harcèlement, la haine en ligne, etc. On pouvait donc penser que ces textes auraient une efficacité. Pour être allé plusieurs fois à Dublin, je peux vous assurer que les grandes entreprises de la tech se préparaient sereinement à distinguer deux zones dans leurs conditions générales d’utilisation (CGU) : les États-Unis d’un côté, l’Europe de l’autre. Et puis, quelques milliardaires libertariens, au premier rang desquels Peter Thiel et Elon Musk, ont financé la campagne de Trump en contrepartie de la promesse de nommer vice-président J.D. Vance – lobbyiste en chef des entreprises refusant la régulation. À partir de ce moment-là, nous avons entendu des déclarations sidérantes, comme lorsque celui-ci a affirmé, dans un cadre très officiel, que si l’Union européenne sanctionnait financièrement au nom du DSA n’importe quel réseau social américain, les États-Unis iraient jusqu’à se retirer de l’Otan. Le niveau de menace est stupéfiant. Ces propos ont été accueillis avec une certaine distance : il est peu probable que les États-Unis quittent réellement l’Otan. Mais, au-delà de la formule, le message signifiait : je vais être un maverick et je suis prêt à répondre à un différend commercial par des mesures de rétorsion dans n’importe quel autre secteur, sans me fixer aucune limite.

Il est donc difficile de savoir si nos cadres juridiques résisteront face à une telle détermination politique. Une chose est certaine : il faudra du courage et un véritable engagement, quitte à payer le prix de mesures de rétorsion en réponse aux décisions que l’Europe pourrait être amenée à prendre.

Mme Cyrielle Chatelain, rapporteure. Concernant la régulation européenne, l’Union dispose aujourd’hui de plusieurs cadres juridiques : le DSA, le DMA, mais aussi le règlement général sur la protection des données (RGPD), qui a constitué en son temps une innovation majeure. La Commission européenne a publié une proposition dite omnibus numérique. Quel regard portez-vous sur cette initiative ? Peut-on craindre, eu égard à la pression exercée par les États-Unis sur les réglementations européennes, ainsi que des moyens considérables que les Gafam consacrent au lobbying à Bruxelles, que celle-ci conduise à un affaiblissement du cadre juridique européen ? La question se pose d’autant plus que l’on observe, au sein du Parlement européen, certaines situations qui interrogent, telles que le passé de salariée des Gafam de l’une des rapporteures sur ce dossier.

M. Henri Verdier. Il y a d’autres textes juridiques que les trois que vous avez mentionnés, entre autres le Data Act, le Cyber Resilience Act, la directive PSI (Public Sector Information) ou le Chips Act. Concernant le projet d’omnibus numérique, n’étant plus directement en charge de ces questions, je ne l’ai pas examiné en détail. Toutefois, toutes les personnes à qui j’ai posé la question se disent inquiètes, et pas uniquement à cause des lobbyistes américains.

Notons que de nombreuses entreprises américaines, y compris dans le domaine de l’IA, ne sont pas nécessairement hostiles à toute forme de régulation. Beaucoup préféreraient qu’il y ait un cadre unifié et clair, qui leur permettrait de savoir selon quelles règles elles seront jugées, dans l’hypothèse de futures actions de groupe. Toutefois, une idéologie profondément méfiante à l’égard de la régulation a phagocyté la Silicon Valley. On la retrouve dans l’ouvrage de Peter Thiel, De zéro à un, qui contient par ailleurs des réflexions intéressantes sur l’entrepreneuriat. Le livre se conclut sur l’idée que la régulation est un obstacle à l’innovation et que seuls les monopoles disposent des ressources suffisantes pour briser les tabous. Cette vision, formulée il y a vingt ans, a longtemps été enseignée dans toutes les écoles de management.

Il existe des pressions venues des États-Unis, mais aussi, il faut le reconnaître, des lobbys européens. Pour autant, je souhaiterais réfuter l’idée très répandue selon laquelle la régulation serait nécessairement l’ennemie de l’innovation. Dans certains cas, elle peut même constituer un avantage. Ce fut par exemple le cas pour Airbus, qui a pu mettre en avant les normes de sécurité européennes particulièrement exigeantes, pour gagner la confiance de ses clients et reconquérir une part importante du marché mondial face à Boeing.

Il est vrai cependant que la régulation peut être lourde, complexe ou tatillonne. Un conseiller d’État m’avait raconté que le traité de concession du canal de Suez tenait en sept pages tandis que celui d’Eurotunnel en comptait 7 000 – ce dernier a tenu trois mois avant d’aboutir à la banqueroute générale. Lors de ma première visite en Inde, mes interlocuteurs me disaient combien l’idée fondatrice du RGPD – selon laquelle les données doivent circuler avec le consentement de l’utilisateur – leur paraissait remarquable et inspirante. Ils s’étonnaient en revanche de la lourdeur administrative de sa mise en œuvre pour les entreprises européennes. Leur approche consistait plutôt à concevoir un système de gestion du consentement mutualisé (consent management system), soutenu par une infrastructure commune, permettant de faciliter le partage, la révocation et la traçabilité du consentement, afin d’en faire un véritable levier d’innovation.

De ce que j’entends, plusieurs facteurs expliquent la volonté de simplifier certaines procédures et démarches : le rapport Draghi, les inquiétudes croissantes quant à la perte de compétitivité de l’Europe, et l’idée selon laquelle les coûts administratifs et bureaucratiques y contribuent en partie. Ce n’est pas en soi une mauvaise idée, à condition de ne pas jeter le bébé avec l’eau du bain. Il faut non pas renoncer à réguler mais apprendre à le faire de manière élégante et légère. Aujourd’hui, les inquiétudes sont largement partagées.

Mme Cyrielle Chatelain, rapporteure. Dans un entretien en marge du symposium Software Heritage, vous expliquiez que les décisions de l’État, notamment un marché public, sont souvent l’occasion pour les acteurs non retenus d’aller publiquement exprimer leur désaccord, voire, de manière plus discrète, d’aller directement frapper à la porte des responsables politiques, y compris d’un Premier ministre. Quel regard portez-vous sur le poids des lobbys – pour ne pas employer le mot d’ingérence ? Vous avez mentionné l’existence de lobbys européens comme américains : qui sont-ils ? À qui faisons-nous face lorsqu’on cherche à préserver l’autonomie de l’État ?

M. Henri Verdier. C’était dit dans un mouvement d’humeur, mais je l’assume. En revanche, je n’ai jamais dit que les décisions étaient truquées. Le code des marchés publics est tellement pointilleux, il y a tellement de responsabilités pénales susceptibles d’être engagées – jusqu’au payeur public qui est comptable sur ses biens propres – que c’est impossible. Ceux qui perdent le marché vont soit au tribunal administratif si ce sont des grosses entreprises, soit se plaindre dans les médias si ce sont des entreprises plus petites, mais, au cours ma carrière, je n’ai vu aucun exemple de décision biaisée à cause de la pression. En revanche, les visiteurs du soir peuvent influencer les manières de raisonner. Par exemple, en sept ans à la Dinum, j’ai vu passer trois fois l’idée du « 100 % dématérialisé », fondée sur des raisonnements un peu simplistes, du même ordre que ceux promettant de faire ainsi économiser 3 % à la sécurité sociale. Cela reste des cadres de raisonnement soufflés à l’oreille des politiques, sans pour autant truquer les marchés.

Mme Cyrielle Chatelain, rapporteure. Qui murmure ces cadres de raisonnement ? Avez-vous entendu le nom de visiteurs réguliers qui pourraient influencer l’analyse de l’État dans le secteur du numérique ?

M. Henri Verdier. Sans surprise, dès qu’une grande entreprise française emploie plusieurs centaines de milliers de salariés et demande à la diplomatie française et au réseau des services économiques de soutenir son effort d’exportation, elle parle aux politiques. Les entreprises Capgemini ou Atos, par exemple, sont reçues à un très haut niveau et il serait choquant qu’elles ne le soient pas. En fonction de la sensibilité du président en fonction, les start-up ont plus ou moins leurs entrées.

Mme Cyrielle Chatelain, rapporteure. Vous avez écrit en 2017 un plaidoyer pour passer des start-up d’État à l’État plateforme. Vous défendiez le développement par l’État d’outils au service de l’intérêt général pour éviter que les usagers ne soient prisonniers des Gafam. Aujourd’hui, quel bilan faites-vous de l’État plateforme ? Vous avez dit précédemment que tout n’a pas vocation à être internalisé. Quelles sont alors les fonctions stratégiques que l’État doit développer en interne pour continuer à être fort ?

M. Henri Verdier. J’ai été, au cours de ma carrière, d’abord entrepreneur puis directeur de la prospective pendant deux ans pour l’institut Mines-Télécom. En 2012, avec Nicolas Colin, nous avons écrit un livre, L’âge de la multitude, qui voulait montrer la puissance des stratégies de plateforme. Nous analysions comment Google, Facebook et tous les autres avaient le même genre de stratégies, à savoir d’ouvrir leurs actifs (assets) pour stimuler l’innovation d’un écosystème et capturer une partie de la valeur ajoutée de cette innovation. Techniquement parlant, le moteur de recherche de Google, c’est de la capture de liens hypertextes écrits par des millions d’internautes. La stratégie de plateforme suppose des choix technologiques précis, notamment celui de ne plus concevoir l’informatique comme un ensemble monolithique, comparable à une cathédrale, mais plutôt comme un assemblage de modules de petite taille, réutilisables par de multiples applications. Elle repose également sur des échanges de données fluides grâce aux API et sur une capacité accrue à s’ouvrir aux écosystèmes environnants. Je concluais le livre en faisant l’hypothèse que l’État pourrait adopter cette stratégie ; ce serait l’État plateforme. J’ai tenté de mettre en application cette idée lorsque je dirigeais la Dinum, qui continue d’ailleurs dans cette voie. Il en reste de belles initiatives comme FranceConnect, utilisé quotidiennement par 40 millions de Français. J’avais été très frappé d’observer qu’au Royaume-Uni, on se connectait à certains services publics, comme les impôts, avec un compte Facebook. Si le compte est mal paramétré, Facebook ne constitue pas seulement une porte d’entrée : en recourant au protocole Open Graph, la plateforme peut également recueillir des informations sur les pages consultées, les actions réalisées, ainsi que sur l’historique de navigation de l’utilisateur.

Il existe également des évolutions moins visibles mais tout aussi importantes. De grandes API ont considérablement simplifié le fonctionnement interministériel. Dédiées aux données des entreprises, aux données personnelles ou encore aux données géographiques, elles échangent des milliards de données chaque semaine. Elles ont permis de fluidifier et de sécuriser de nombreuses démarches administratives ainsi que des échanges entre administrations. Lorsque j’étais à la tête de la Dinum, j’avais ainsi découvert que certaines administrations utilisaient une copie de rang 7 du fichier Sirene (Système national d’identification et du répertoire des entreprises et de leurs établissements) ou du répertoire de la sécurité sociale. Les données y figurant accusaient parfois jusqu’à six mois de retard parce qu’il était trop complexe d’y accéder en temps réel.

La mise en place d’API s’est accompagnée d’une diffusion progressive des méthodes agiles : plus le système d’information de l’État fournit des modules réutilisables et des données par flux rapides, plus il devient facile de créer des prototypes adaptés à de nouveaux services. Ces méthodes commencent à s’ancrer dans les usages et apparaissent de plus en plus comme une réponse efficace à certains dysfonctionnements.

Il subsiste donc des réalisations solides, ainsi que de belles promesses. Cependant, quand j’ai découvert en Inde les infrastructures publiques numériques, j’ai eu le sentiment qu’ils avaient véritablement réussi à développer l’État plateforme auquel nous aspirions. L’expérience indienne me semble riche d’enseignements. Loin d’être une initiative gouvernementale, elle repose sur un écosystème privé-public, développé à Bangalore, capitale d’un État dirigé par l’opposition.

Si vous souhaitez prendre un rickshaw à Bangalore, vous pouvez le commander par une application qui a coûté environ 5 000 euros au syndicat des conducteurs de rickshaws grâce à l’utilisation d’un standard ouvert appelé Beckn. À l’origine, les conducteurs, pour la plupart analphabètes, se sont demandé pourquoi reverser 40 % de leurs revenus à la plateforme Uber alors qu’ils pourraient disposer de leur propre application de réservation. Le syndicat a passé commande à une petite société locale de services informatiques, pour un coût très modeste, et l’application fonctionne parfaitement. Ce qui a rendu cette initiative possible, c’est l’existence d’un standard ouvert permettant de décrire les mouvements, les trajectoires, les identités, les transactions ou encore les comptes en banque.

L’État plateforme à l’indienne, ce sont des infrastructures logiques, cognitives, qui permettent à chacun d’innover rapidement. Mais ce modèle repose aussi sur une maturité du débat politique que nous n’avons pas encore en France. Les opérateurs et les architectes de ces systèmes vous expliquent qu’il faut commencer par identifier les domaines d’intervention légitimes. Ils citent plusieurs cas de figure : tout d’abord lorsqu’il existe un risque de capture du marché par un monopole ; ensuite lorsque certaines innovations profitent à un si grand nombre qu’il devient plus simple de les financer par de l’argent public – c’est le cas de l’identité numérique par exemple : si chaque utilisation de l’identité devait être facturée individuellement, le marché serait saturé de microtransactions. Ils estiment enfin que l’État doit intervenir dans les marchés bifaces, comportant un risque d’intermédiaire malhonnête. Dans le cas d’Uber, on ne sait jamais si l’application travaille pour le chauffeur ou pour le client, ce qui lui permet potentiellement de prélever une commission sur les deux parties. En cas de litige, la régulation est compliquée. À l’inverse, lorsqu’un acteur assume clairement le fait de servir l’un des deux côtés du marché, les responsabilités sont plus aisées à établir. Il convient donc d’empêcher les acteurs économiques de prendre le contrôle des marchés bifaces. En revanche, il faut laisser l’innovation à l’initiative du marché. Le rôle de l’État consiste simplement à rendre l’innovation possible tout en garantissant que personne ne puisse en tirer une position de monopole. Ces sujets sont discutés en Inde par des milliers de gens, jour et nuit, et replacés dans une réflexion plus large sur l’histoire et l’héritage de l’indépendance, de Gandhi, de Nehru. Il s’en dégage une forme de sagesse collective qui est impressionnante.

M. le président Philippe Latombe. Nous faisons face depuis quelques mois à des fuites de données d’une ampleur préoccupante, notamment au sein du secteur public. L’authentification multifactorielle n’est pas encore la norme. Serait-ce le rôle de la Dinum que d’en imposer une, et, le cas échéant, selon quelles modalités ? Devrait-elle s’appuyer sur des solutions privées ou développer une solution publique, éventuellement adossée à l’identité numérique, afin d’assurer ce niveau supplémentaire de sécurité ?

Depuis plus de cinq ans, la plateforme des données de santé – dite Health Data Hub – a suscité de vives controverses, notamment en raison du choix d’un hébergement confié à Microsoft, non pas à la suite d’un appel d’offres classique, mais par l’intermédiaire de l’Union des groupements d’achats publics (Ugap). Quel regard portez-vous sur le rôle de l’Ugap ? Quelles évolutions pourraient être envisagées afin de garantir davantage d’ouverture, de transparence et de bonnes pratiques dans son fonctionnement ?

M. Henri Verdier. En ce qui concerne les fuites de données, la situation est extrêmement grave. Elle ne me surprend malheureusement pas dans la mesure où nos systèmes reposent sur des bases d’une grande fragilité, avec une surface d’exposition au risque élevée, ainsi que sur une forme d’inconscience – tant dans le secteur public que dans le privé. Cependant, les fuites augmentent aussi parce que les acteurs du cybercrime sont de plus en plus professionnalisés. Il y a aujourd’hui de véritables multinationales du cybercrime extrêmement puissantes avec des centres de recherche et développement, des responsables des ressources humaines et de la formation continue. L’exemple des Conti Leaks en témoigne. Au moment de l’invasion de l’Ukraine, l’organisation cybercriminelle Conti, une des plus importantes au monde, s’est divisée entre Russes d’un côté et Ukrainiens de l’autre. Un compte anonyme s’est alors mis à publier des dizaines de milliers de mails envoyés par des membres de ce groupe criminel, laissant apparaître une bureaucratie du crime très sophistiquée. Enfin, les fuites sont plus visibles puisque la loi fait maintenant obligation de les signaler. Reste que la situation est grave et je ne sais pas si la double authentification suffirait à endiguer le problème, étant donné la faiblesse des infrastructures elles-mêmes. Je confierais le soin de définir et d’imposer un cadre plutôt à l’Anssi qu’à la Dinum. À l’époque, le référentiel général de sécurité avait été élaboré de concert par l’Anssi et la Dinum, mais l’autorité de l’Agence semblait plus efficace. Cette agence dispose d’ailleurs de la capacité de s’opposer à la mise en œuvre d’un projet s’il présente des risques en matière de cybersécurité.

Quant au Health Data Hub, les personnes qui ont choisi l’unique solution référencée par l’Ugap ont agi ainsi pour gagner du temps et éviter la lourdeur des procédures de marché public : trois ans pour élaborer un appel d’offres, le notifier, le publier, analyser les candidatures et répondre aux éventuels contentieux. C’est révélateur des difficultés structurelles de l’achat public. Lorsque j’achevais mon mandat à la Dinum, je m’étais interrogé sur l’opportunité de créer une centrale d’achat dédiée à l’informatique, potentiellement confiée à la Dinum. Les achats informatiques requièrent des connaissances précises. L’Ugap accomplit son travail du mieux possible mais son périmètre d’intervention est trop large, qui va de l’informatique aux papiers peints, en passant par la flotte de véhicules, les vacances, etc. J’avais donc suggéré aux autorités qu’il pourrait être pertinent de disposer d’une centrale d’achat dédiée.

M. Arnaud Saint-Martin (LFI-NFP). Dans certaines situations, malgré les risques de vulnérabilité, la dépendance semble assumée, organisée, voire désirée par les administrations publiques ou même par l’État, sous forme de politiques publiques incitatives. Quel est votre sentiment à ce sujet ? Par exemple, au nord de ma circonscription, un campus géant nommé Campus IA est en cours d’implantation à Fouju. Aux côtés de l’investisseur principal – le fonds souverain MGX, basé à Abou Dabi – qui injecte 35 milliards de dollars, on trouve notamment Nvidia et Mistral AI. J’ai participé à une concertation publique au cours de laquelle j’ai soulevé plusieurs interrogations : les dépendances qu’un tel projet pourrait entraîner ou encore le fait qu’une partie significative de la valeur créée pourrait, à terme, être captée en dehors du territoire français. On m’a répondu que c’était une dépendance assumée et qu’il était nécessaire de s’organiser rapidement pour combler notre retard et accompagner le développement des usages liés à l’IA et au numérique. J’ai reçu la même réponse de la part du ministère chargé du numérique.

Ce premier exemple illustre la course au gigantisme que vous évoquiez et qui est peut-être une impasse, à tout le moins une fuite en avant. Ne sommes-nous pas là en train d’accroître certaines vulnérabilités plutôt que de les réduire ? Par ailleurs, que faut-il penser lorsque des infrastructures particulièrement critiques comme la DGSI (direction générale de la sécurité intérieure) signent des contrats avec Palantir, dont vous avez évoqué la figure controversée du fondateur, Peter Thiel, ainsi que sa philosophie ? N’y a-t-il pas un risque de dépendance accrue vis-à-vis d’acteurs qui ne nous veulent pas forcément du bien ?

M. Henri Verdier. Ce sont des thématiques compliquées. Nous avons face à nous une économie de capital-risque financée par des investissements considérables, dans un pays capable d’émettre autant de dollars qu’il le souhaite – puisqu’il peut en créer lorsqu’il en manque.

Nous sommes confrontés à un dilemme permanent parce que nous avons aussi besoin d’investissement. En ce qui concerne les data centers, le risque qu’ils quittent le territoire du jour au lendemain est assez peu élevé car ce sont des infrastructures physiques lourdes. La France cherche en permanence, d’une part, à assurer son autonomie et à soutenir l’indépendance capitalistique de ses propres entreprises, et d’autre part, à attirer des investisseurs étrangers, en espérant ne pas se tromper. L’histoire de l’industrie regorge néanmoins d’exemples d’erreurs stratégiques, comme la fusion entre Alcatel et Lucent ou l’arrêt par France Télécom des recherches sur Internet – dont l’Inria avait inventé certaines des technologies fondatrices – pour privilégier le Minitel. L’innovation s’est alors poursuivie aux États-Unis. Nous tentons constamment de trouver un compromis.

Quant au contrat entre Palantir et la DGSI, j’ai prêté serment donc je dois dire la vérité : j’ai toujours pensé que c’était une erreur. La DGSI ne faisait pas partie du périmètre d’action de la Dinum, donc je n’étais pas chargé de ce dossier, je n’ai pas effectué d’audit ni participé à la décision. En réponse à mes inquiétudes, il m’a été indiqué que les données sensibles étaient hébergées sur des machines coupées du réseau, ce qui en rend l’accès impossible à Palantir. Je veux bien le croire. Cependant si on en juge une littérature récente, notamment le livre d’Olivier Tesquet et de Nastasia Hadjadji, Apocalypse nerds, le danger se situe aussi ailleurs. Palantir vous permet de stocker cent fois plus de données qu’auparavant et se rend indispensable. Lorsqu’éclate un conflit commercial ou que change la grille tarifaire, si vous êtes en désaccord, l’entreprise peut menacer de vous priver de ses services que vous n’êtes plus capables d’assurer vous-mêmes. J’aurais donc été plus prudent. J’espère qu’on verra bientôt émerger non pas des Palantir européens, car changer la nationalité du tyran ne suffit pas à résoudre le problème de la souveraineté, mais des capacités de traitement de données européennes.

La souveraineté est aussi une condition de la démocratie. Si le peuple souverain n’est pas en mesure de décider librement de protéger ses données personnelles ou de garantir que ses enfants ne verront pas de pornographie, la démocratie devient une coquille vide. Derrière la souveraineté économique, c’est aussi la démocratie qui est en jeu.

M. Hervé Saulignac (SOC). Vous avez défendu l’idée d’un équilibre des rapports de force avec les grandes puissances, qu’elles soient américaine ou chinoise. L’Europe n’ayant pas fait le pari de l’autosuffisance numérique, ne pensez-vous pas qu’il est déjà trop tard ? Vous avez évoqué quelques pistes, notamment les standards ouverts, permettant d’atteindre cet équilibre, pourriez-vous en préciser d’autres ?

Ma seconde question porte sur la multiplicité des acteurs publics impliqués : les autorités de régulation – telles que la Commission nationale de l’informatique et des libertés (Cnil), l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) ou encore l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) – ; les directions chargées du pilotage de l’action de l’État, comme la Dinum ; les diverses agences spécialisées ; plusieurs plateformes publiques telles que FranceConnect ou data.gouv ; et de nombreux organismes de recherche. Une refonte de l’architecture et de la gouvernance de ces institutions serait-elle souhaitable pour réduire la dispersion actuelle et les coûts significatifs qui en résultent ?

M. Arnaud Le Gall (LFI-NFP). Le 5 février 2025, le Premier ministre a publié une circulaire relative à la commande publique numérique. L’administration a-t-elle les moyens de l’appliquer ? Et d’ailleurs, y a-t-il une seule personne au sein de l’État qui soit capable de fournir une cartographie globale des solutions numériques utilisées dans l’administration française, au moins au niveau central ?

Le cloud est l’un des nefs de la guerre. Je suis préoccupé par le fait que le Cybersecurity Act 2 semble entériner l’abandon du label de cloud souverain. La première réaction consisterait évidemment à ne pas renoncer à cet objectif et à poursuivre le développement de cloud souverain, garantissant que les données sensibles ne puissent être soumises ni à la législation américaine ni à la législation chinoise – même si les solutions chinoises sont, de fait, beaucoup moins utilisées en Europe. Interrogé par la commission des affaires étrangères sur le recours à des solutions d’Amazon pour la phase test de l’euro numérique que nous jugions scandaleux, Guillaume Poupard avait répondu que, pour une partie de nos partenaires européens, « la souveraineté est un gros mot ».

La seconde piste consisterait à s’interroger plus fondamentalement sur nos besoins. Avons-nous réellement besoin du tout-cloud ? La généralisation des clouds ne constitue-t-elle pas un facteur de vulnérabilité ? Le cloud revient, en pratique, à centraliser des volumes considérables de données dans de très grands centres de calcul. Dans certains cas, ne serait-il pas possible, y compris pour des raisons d’impact environnemental, de réduire le recours au cloud, notamment au sein de l’État ?

Mme Cyrielle Chatelain, rapporteure. Vous avez évoqué la nécessité de disposer d’une capacité de calcul européenne. Quels sont les principaux critères permettant de garantir la souveraineté des data centers ? La seule localisation géographique ne suffit pas, notamment en raison de l’existence de lois extraterritoriales. Quels éléments de vigilance doit-on prendre en compte, lorsqu’on participe, comme M. Saint-Martin, à une concertation publique sur l’implantation d’un data center ?

M. Henri Verdier. J’identifie trois grands ensembles de questions. Le premier concerne l’organisation de l’État sur la question numérique, qui est effectivement très éclatée et a varié au cours du temps selon les ministres, les ambassadeurs ou les responsables de Dinum. Cet éclatement s’explique en partie par le fait que les ministres ou secrétaires d’État chargés du numérique étaient au départ secrétaires d’État à l’économie numérique, ce qui impliquait une forte dimension de politique industrielle, tournée vers l’innovation et les start-up.

La Dinum s’inscrit dans une autre trajectoire. Jusqu’en 1986, les systèmes d’information de l’État étaient développés de manière très autonome par les informaticiens des différentes administrations. Un décret de décembre 1986 commence à structurer cette gouvernance : les ministres deviennent responsables des systèmes. Puis une circulaire du Premier ministre François Fillon rattache les directions des systèmes d’information aux secrétaires généraux des administrations. Et petit à petit, avec craintes et tremblements, certaines fonctions sont mutualisées à l’échelle interministérielle. Cela se traduit notamment par la mise en place du réseau interministériel de l’État (RIE) et par l’élaboration de référentiels communs, par exemple en matière d’accessibilité. Aujourd’hui, la Dinum joue surtout un rôle de coordination et d’interconnexion entre des systèmes qui restent largement ministériels.

La cybersécurité, c’est encore une autre histoire. Quant à la diplomatie numérique, c’est un domaine à part entière qui recouvre des attributions telles que la gouvernance d’internet, le droit international dans le cyberespace ou l’éthique de l’IA. Par ailleurs, chaque ministère sait désormais que l’avenir des politiques publiques dont il a la charge – qu’il s’agisse d’éducation, de santé ou d’écologie – sera profondément lié aux transformations numériques et à l’intelligence artificielle. Il est donc naturel qu’aucun d’entre eux ne souhaite être entièrement dessaisi de ces questions.

C’est bizarrement parfois au niveau européen que la cohérence apparaît le plus clairement. Lorsqu’un texte est négocié à Bruxelles, la position française est préparée par le secrétariat général des affaires européennes (SGAE) à l’issue d’une concertation interministérielle, puis défendue par la représentation permanente de la France auprès de l’Union européenne. Ce processus aboutit généralement à une position nationale unifiée, négociée et arbitrée en amont.

Dans ces conditions, la cartographie que vous évoquiez est très difficile à établir. La Dinum peut avoir une vision relativement précise des dépenses des DSI des ministères, mais une grande partie des initiatives lui échappe. Si les services d’information de certains ministères développent des outils comme des chatbots, ces projets échappent aux radars de la Dinum. Il en va de même pour de nombreux autres périmètres : les opérateurs de l’État, la sphère de la défense ou encore les activités classifiées. À cela s’ajoute l’absence de véritable comptabilité analytique : les dépenses sont principalement intégrées dans des budgets de fonctionnement, ce qui rend l’analyse très difficile. Établir une cartographie précise supposerait donc une mission d’enquête spécifique, fondée sur une analyse approfondie des données budgétaires et administratives.

Le deuxième ensemble de questions concerne la souveraineté, notamment européenne. Plutôt que de renoncement, je parlerais d’une série d’échecs. La France, qui avait su développer des grands programmes nucléaires ou spatiaux, a connu des revers dans le domaine du numérique, depuis le demi-échec du plan Calcul jusqu’aux tentatives de construire un Airbus du hardware et à la bataille perdue du système d’exploitation. L’une des causes de ces échecs tient sans doute à notre approche traditionnelle de l’innovation, très différente de celle de la Silicon Valley. Leur modèle est profondément darwinien : on lance un grand nombre de projets, on en abandonne rapidement la majorité, et quelques succès majeurs compensent l’ensemble des échecs grâce au capital-risque. Cette dynamique, visiblement efficace, a mis du temps à être comprise en Europe. Nous avons connu quelques réussites ponctuelles, l’arrivée de Price Minister et plus récemment l’arrivée de Criteo ont insufflé une bouffée d’espoir sur le marché – enfin, nous avions une licorne ! Reste que nous avons peiné à trouver une véritable dynamique d’innovation numérique et nous avons perdu vingt ans.

À cela s’ajoutent les divergences culturelles au sein de l’Europe. La notion même de souveraineté numérique a longtemps suscité des réticences chez certains partenaires qui y voyaient plutôt une dérive autoritaire, sur le modèle de la Chine. J’ai ainsi passé beaucoup de temps expliquer qu’il ne s’agissait pas de restreindre les libertés en ligne, de contrôler internet ou de censurer la parole publique, mais de garantir notre capacité d’action et de régulation. Pour rassurer nos collègues, nous avons appris à parler d’autonomie stratégique ou de self-determination plutôt que de souveraineté. Les esprits évoluent, mais là aussi, nous avons perdu vingt ans.

Pour l’avenir, plusieurs orientations stratégiques me semblent importantes. Il faudrait tout d’abord définir quelques priorités industrielles claires. La France dispose par exemple d’acteurs solides dans le cloud, sur lesquels elle pourrait s’appuyer. En ce qui concerne l’intelligence artificielle, on parle constamment des Large Language Model (LLM), un programme d’intelligence artificielle destiné au marché et au marketing. Cependant, pour reprendre les termes de Thierry Breton, il existe un boulevard en Europe pour une IA industrielle, capable de transformer nos systèmes de production. Elle fonctionnerait avec des données qui ne sont pas encore en place publique et il faudrait inventer un business model autre que le placement publicitaire. Ce projet présente un double enjeu pour l’Europe, dans la mesure où il permettrait de développer des IA très européennes et de sauver notre industrie. Si l’Europe se donnait, par exemple, l’objectif de réduire de 30 % la consommation d’énergie et de matières premières de ses usines grâce au numérique, ce serait un progrès industriel et écologique majeur.

Il est également essentiel de soutenir la recherche publique, qui est sérieusement affaiblie par manque de financement, alors qu’elle a joué un rôle décisif dans le développement de technologies aujourd’hui centrales, y compris dans l’IA. Personne ne croyait aux Diffusion Large Language Models (DLLM) il y a vingt ans, à l’exception de quelques laboratoires en France et au Canada. On devrait, en outre, s’inspirer des infrastructures publiques numériques à l’indienne et mener une politique beaucoup plus affirmée de soutien aux grands communs numériques et aux logiciels libres, qui sont des facteurs de souveraineté. Aujourd’hui, nous leur apportons très peu de financement public. Lorsque j’étais ambassadeur, j’ai ainsi soutenu la création d’un European Digital Infrastructure Consortium (Edic) consacré aux communs numériques. Il aura fallu trois ans de négociations avec Bruxelles pour y parvenir, et les moyens qui lui seront alloués restent modestes, de l’ordre de quelques millions d’euros. Pourtant, une part importante de notre liberté numérique repose sur ces infrastructures ouvertes, comme Linux, OpenStreetMap et plus largement sur le fait qu’internet demeure fondé sur des standards ouverts. Parfois, nous perdons la bataille, comme dans le cas de Mozilla : la structure a progressivement été cannibalisée par Google, qui a apporté des moyens considérables – en développeurs comme en financement – jusqu’à la rendre complètement dépendante. Le fait qu’un logiciel soit libre ne signifie pas qu’il soit protégé. Sa pérennité dépend de l’existence d’une communauté active de contributeurs, d’un investissement continu et de financements suffisants.

La commande publique constitue un autre levier important, même si son impact est parfois surestimé. Il faut garder à l’esprit l’écart de moyens entre les États-Unis et l’Europe – je l’ai déjà mentionné en matière de dépenses militaires. En revanche, il serait utile que l’État développe une commande publique plus stratégique et plus ouverte à l’innovation. Pour favoriser une meilleure compréhension, il s’agirait de dialoguer avec plus de start-up, d’entrepreneurs et de chercheurs. Une telle approche serait bénéfique à l’ensemble de l’écosystème.

Pour conclure, je ne pense pas qu’il soit trop tard. J’ai souvent participé à des colloques où l’on débattait longuement pour savoir s’il fallait parler de souveraineté ou d’autonomie stratégique, voire s’il convenait d’adopter une forme de protectionnisme. Or, lorsque l’on échange avec de grands entrepreneurs, un constat plus simple s’impose : l’objectif est avant tout d’augmenter nos degrés de liberté. Cette logique devrait guider nos décisions quotidiennes. Si cette approche devenait un réflexe, elle transformerait progressivement la culture des organisations. Par exemple, si cette commission a mis en place un groupe de travail sur messagerie, on peut légitimement espérer que ce soit sur Signal, sinon cela pose des problèmes d’indépendance et de sécurité. Je peux vous raconter à ce sujet une anecdote assez révélatrice. Lorsque je suis entré à la Dinum en 2015, un gros marché public était sur le point d’être publié. Cela faisait trois ans que le dossier était en préparation, tout avait été validé, y compris par le contrôleur budgétaire et comptable ministériel (CBCM) et le Premier ministre lui-même. Il s’agissait d’un marché relatif à des services de cloud et je savais, parce que je m’étais renseigné, qu’aucun acteur français ne répondrait à l’appel d’offres. J’ai immédiatement tenté d’introduire une clause supplémentaire afin de prévoir, avant signature du contrat, un test de migration, permettant de vérifier que nous pouvions quitter la solution retenue en quinze jours. L’idée était d’ajouter une dernière ligne de défense, autrement dit un degré de liberté supplémentaire. En l’occurrence, cela a été refusé mais cet exemple illustre le type de réflexes qu’il faudrait systématiquement adopter. Si nous développions cette culture, les premiers gains pourraient être rapides et concrets.

Dans l’histoire du numérique, les positions dominantes sont rarement définitives et c’est une bonne nouvelle : les géants d’aujourd’hui peuvent être renversés cinq ans plus tard par de nouveaux géants. L’enjeu est donc de préparer dès maintenant les prochaines batailles technologiques et de les gagner cette fois-ci.

La séance s’achève à quatorze heures quinze.

———

Membres présents ou excusés

Présents. – Mme Cyrielle Chatelain, M. Philippe Latombe, M. Arnaud Le Gall, M. Arnaud Saint-Martin, M. Hervé Saulignac

Excusés. – Mme Isabelle Rauch, M. Vincent Thiébaut