— 1 —

La séance est ouverte à onze heures trente.

M. le président Philippe Latombe. Nous recevons les représentants de la Caisse des dépôts et je souhaite la bienvenue à Mme Catherine Mayenobe, directrice générale déléguée, directrice des opérations et du pilotage de la transformation opérationnelle, à M. Arnaud Martin, directeur des risques opérationnels, à M. Patrick Laurens-Frings, directeur de la transformation opérationnelle, digitale et des systèmes d’information du groupe et à M. Philippe Blanchot, directeur des relations institutionnelles, internationales et européennes.

Vous avez souhaité être entendus par notre commission d’enquête afin de partager votre expertise et vos travaux sur la souveraineté numérique, qui s’articulent autour de trois objectifs : mesurer et réduire les dépendances numériques, soutenir et financer des infrastructures numériques autonomes et sécurisées, et enfin déployer des initiatives concrètes qui renforcent la capacité de la France à maîtriser ses technologies et données numériques. Je vous remercie pour cette initiative.

Je vais vous laisser la parole pour une intervention liminaire. Je vous remercie de bien vouloir la limiter à une quinzaine de minutes pour l’ensemble d’entre vous, afin que nous ayons le temps d’échanger sous forme de questions-réponses. Je vous remercie également de nous déclarer tout autre intérêt public ou privé de nature à influencer vos déclarations.

Auparavant, je vous rappelle que l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter serment, de dire la vérité, toute la vérité, rien que la vérité. Je vous invite donc, madame, messieurs, à lever la main droite un par un et à dire : « Je le jure ».

Mme Catherine Mayenobe, directrice générale déléguée de la Caisse des dépôts, directrice des opérations et du pilotage de la transformation opérationnelle. Au titre de la déclaration d’intérêts, je déclare tout d’abord mon appartenance à la Cour des comptes, dont je suis magistrate détachée à la Caisse des dépôts. Je précise également que je suis membre du conseil d’administration du groupe La Poste et vice-présidente du conseil de surveillance de RTE.

M. Arnaud Martin, directeur des risques opérationnels. Au titre de mes intérêts, je suis également vice-président du Cesin (club des experts de la sécurité de l’information et du numérique), une association qui regroupe environ 1 200 responsables de la sécurité des systèmes d’information (RSSI) en France.

M. Patrick Laurens-Frings, directeur de la transformation opérationnelle, digitale et des systèmes d’information. Au titre de mes intérêts, je représente la Caisse des dépôts au conseil d’administration de Numspot, dont je suis le président.

(Mme Catherine Mayenobe, M. Arnaud Martin, M. Patrick Laurens-Frings et M. Philippe Blanchot prêtent serment).

M. le président Philippe Latombe. Vous avez la parole, dans l’ordre que vous souhaitez.

Mme Catherine Mayenobe. Monsieur le président, madame la rapporteure, je vous remercie de nous auditionner. C’est pour nous une occasion unique de partager notre vision du paysage numérique actuel. Je vous présenterai brièvement la feuille de route conduite par Olivier Sichel, notre directeur général, ainsi que les initiatives que nous souhaitons prendre, avant de répondre à vos questions.

Le diagnostic que nous posons est proche de celui qui a motivé la création de votre commission : il est alarmant. En tant que groupe public financier, nous constatons une urgence claire à agir pour faire face aux dépendances technologiques héritées des dernières décennies. Cet héritage est d’autant plus préoccupant qu’il s’inscrit dans un contexte de double révolution. La première est technologique, avec l’arrivée de l’intelligence artificielle (IA) générative, qui pose en des termes nouveaux et encore plus inquiétants le diagnostic de notre dépendance aux solutions de cloud. Cette révolution redéfinit de façon drastique la chaîne de valeur des grands acteurs économiques. Au-delà des constats que vous avez vous-mêmes établis sur la part très importante des produits numériques consommés en France provenant de zones extra-européennes – le chiffre de 80 % reste d’actualité –, les conséquences sont lourdes : fuites de données stratégiques, perte de valeur économique estimée à près de 265 milliards d’euros par an pour l’Union européenne en achats de solutions, selon une étude du club informatique des grandes entreprises françaises (Cigref) commanditée auprès du cabinet Asterès, et une exposition majeure à des risques géopolitiques croissants.

Cette évolution technologique, déjà complexe à gérer pour nos entreprises et établissements publics, intervient dans une seconde révolution, géostratégique, marquée par des crises multifactorielles et un renforcement très concret du risque de cyberattaque. Tout cela a révélé notre vulnérabilité. Aujourd’hui, pour une institution financière comme le groupe Caisse des dépôts, le numérique est devenu un risque majeur, que nous analysons en termes de risque de non-continuité de nos activités et de non-maîtrise de nos infrastructures critiques.

Cette vision de notre dépendance s’applique à toute la chaîne de valeur numérique. C’est le cas dans les strates les plus basses, celles des infrastructures. C’est vrai au niveau des plateformes logicielles, avec une absence totale de solutions européennes de confiance pour les plateformes « as a service » (PaaS). C’est vrai, dans une moindre mesure mais de façon néanmoins critique, en matière de solutions de traitement des données et de capacités en intelligence artificielle.

Dans ce contexte, nous avons la conviction forte que le développement de notre autonomie stratégique est le chemin vers une compétitivité durable pour nos établissements et nos entreprises, avec pour objectif constant de protéger nos données, qui constituent notre actif le plus précieux. Si le groupe Caisse des dépôts, dont cette conviction est chevillée à l’ADN, a fait de sa transformation interne une feuille de route au service du pays, c’est que nous nous sentons légitimes pour le faire. Notre implication dans le déploiement d’un écosystème numérique français et européen remonte à plusieurs décennies : nous avons été à la manœuvre avec le Fonds national pour la société numérique (FSN) pour déployer la fibre optique, et nous travaillons depuis plus de dix ans au développement des usages numériques. Notre groupe inclut Docaposte, qui compte de belles réussites dans les domaines de la santé ou de l’éducation avec des solutions de confiance.

Forts de cet ADN et de nos expertises internes, nous voulons mettre notre feuille de route au service de l’intérêt général et des autres priorités stratégiques que sont la transformation écologique et la cohésion sociale et territoriale. Nous pensons que construire un numérique souverain et de confiance, qui protège nos données et celles qui nous sont confiées en tant qu’opérateur pour l’État ou les régimes sociaux, est un objectif essentiel. Nous cherchons à maintenir un équilibre entre la performance économique et technologique de ces solutions et nos convictions en matière d’environnement, d’éthique et de sobriété.

Dans ce cadre, Olivier Sichel a fixé comme priorité de son mandat que l’accélération de la transformation du groupe Caisse des dépôts serve le pays. Nous mobiliserons pour cela 18 milliards d’euros de fonds propres, avec un marqueur important : une augmentation considérable du montant des investissements. Pour vous donner un ordre de grandeur, nous avons investi environ un milliard d’euros dans le secteur numérique au cours des dernières années ; nous souhaitons investir cinq fois plus et mobiliser six milliards d’euros sur la durée du mandat, au service de la performance, du développement durable et de la souveraineté.

Cette feuille de route s’articule autour de six priorités. La première est le fruit de notre retour d’expérience après plus de dix ans d’accompagnement de l’écosystème des start-up par Bpifrance. Nous constatons que peu d’entreprises atteignent une véritable dimension européenne et deviennent des leaders. Nous souhaitons donc mettre l’accent sur notre capacité à les accompagner vers des entrées en Bourse, de préférence sur nos infrastructures de marché européennes comme Euronext et Euroclear, dans lesquelles le groupe Caisse des dépôts est investisseur.

La deuxième priorité est de contribuer à l’émergence d’une chaîne de valeur numérique européenne de bout en bout. Il ne sert à rien de protéger nos données si un seul élément de la chaîne numérique n’est pas souverain, surtout à l’ère de l’IA. Nous n’avons pas la prétention de construire seuls cette chaîne, mais nous avons la certitude, après avoir organisé des événements avec nos homologues belges, néerlandais et allemands, que l’Europe dispose des compétences nécessaires. Il faut unir nos forces, avec la conviction que la solution passe par l’adoption massive de communs numériques open source.

Troisièmement, le groupe Caisse des dépôts, notamment via Docaposte, accentuera son rôle pour devenir leader sur certaines solutions numériques de confiance dans les domaines où nous sommes forts : le secteur public et régulé. Je pense à l’éducation, où nous sommes bien implantés avec Pronote ; à la santé, où nous venons de remporter des appels d’offres pour l’espace national de données de santé ; aux collectivités territoriales, que nous souhaitons accompagner dans leur transformation numérique ; ou encore aux professions réglementées, qui sont des partenaires clés.

Parallèlement, nous lancerons en mai prochain, à l’occasion du Printemps des territoires, une initiative majeure destinée aux collectivités territoriales. En co-construction avec elles et en partenariat avec Mistral AI, nous identifierons des cas d’usage susceptibles de passer à l’échelle et les accompagnerons dans l’adoption de solutions nativement souveraines.

Cinquièmement, nous continuerons, via Bpifrance, à accompagner les ETI et PME, que nous avons déjà beaucoup soutenues en matière de cybersécurité, pour les aider à maîtriser leur autonomie stratégique.

Enfin, nous développerons notre rôle d’accompagnateur des politiques publiques locales et nationales vis-à-vis des Français, en facilitant leur accès aux services numériques du quotidien. Nous travaillons par exemple avec l’Agence nationale de la cohésion des territoires (ANCT) sur le programme maisons France Services pour en développer l’impact, ou encore sur l’effort de formation numérique.

Un marqueur de cette feuille de route est l’indice de résilience numérique (IRN), lancé officiellement en début d’année. Nous sommes convaincus qu’il s’agit d’un outil puissant, non pas pour les techniciens des directions des systèmes d’information, mais pour les dirigeants et les conseils d’administration, afin de les aider à mesurer leur dépendance à différentes solutions technologiques. À partir de ce diagnostic, chacun pourra se fixer une trajectoire. En tant qu’institution financière soumise à un régulateur, nous sommes extrêmement attentifs à la sécurité de nos données. Nous allons donc promouvoir cet indice, dont nous sommes l’un des testeurs, et nous œuvrons à en développer une version allégée pour les collectivités territoriales et les PME, qui font face aux mêmes problématiques. Nous portons également son adoption au niveau européen, comme nous l’avons fait lors du sommet franco-allemand.

Voilà, de façon synthétique, la conviction et la vision portées par le groupe Caisse des dépôts sous la conduite d’Olivier Sichel. Le groupe se déploie de manière assez novatrice sur le terrain européen, car nous sommes convaincus que la réponse aux enjeux de souveraineté numérique ne peut se concevoir qu’à l’échelle de notre continent. Nous avons les talents, les solutions et les compétences pour y parvenir, et nous serons en mesure d’apporter notre pierre à cette voie vers une Europe qui maîtrise son destin.

M. le président Philippe Latombe. Merci beaucoup. Avant de céder la parole à madame la rapporteure, j’ai une première question. Vous avez évoqué votre positionnement unique au sein de l’écosystème public et privé, qui vous donne une vision globale de la situation numérique. Le levier de la commande publique est-il, selon vous, suffisamment utilisé ? Que faudrait-il changer pour l’optimiser ? Pensez-vous qu’il faille étendre aux collectivités territoriales une approche similaire à celle de la loi visant à sécuriser et à réguler l’espace numérique (loi Sren) pour l’État, afin d’orienter leur commande publique vers du numérique français et européen ? Enfin, où identifiez-vous encore des résistances qui empêchent la commande publique de se déployer pleinement en faveur de la souveraineté ?

Mme Catherine Mayenobe. La commande publique est un levier, mais ce n’est pas le seul. On estime qu’elle représente environ 20 % du marché. Un de nos messages forts est qu’il faut s’adresser aux 80 % restants, c’est-à-dire les entreprises. D’où l’intérêt de l’IRN, qui vise à sensibiliser les conseils d’administration et les directions générales. Aujourd’hui, ne pas acheter les grandes solutions éprouvées du marché demande du courage et des consignes claires au plus haut niveau de l’entreprise. Il est courant de dire qu’aucun directeur des systèmes d’information ne sera renvoyé pour avoir acheté Microsoft 365. Il faut du courage pour s’inscrire en rupture et accepter d’intégrer des solutions peut-être moins performantes ou sur lesquelles on a moins de recul. Il ne faut donc pas se tromper de cible : les entreprises constituent l’essentiel du marché.

Pour autant, en tant qu’entité soumise au code de la commande publique, il nous semble que la sphère publique a un devoir d’exemplarité et doit envoyer des signaux. C’est pourquoi, au sein du groupe Caisse des dépôts, nous déployons une doctrine d’achat qui accompagne notre feuille de route. Nous avons éprouvé le besoin de formaliser cette doctrine pour mettre nos actes en cohérence avec nos investissements. Si nous finançons des entreprises comme Mistral AI ou Dataiku, nous devons essayer d’acquérir leurs solutions dans le cadre de la commande publique.

C’est un chemin que nous sommes en train de tracer. J’espère qu’à la fin du mandat, nous pourrons démontrer que nous avons fait bouger les lignes pour inclure les enjeux d’autonomie stratégique dans nos politiques d’achat, comme nous l’avons fait avec succès pour les objectifs de responsabilité sociale et environnementale (RSE). Aujourd’hui, c’est plus complexe : il n’est pas possible d’insérer dans un cahier des charges des clauses trop restrictives en matière de souveraineté. Nous espérons que certains assouplissements en discussion au niveau européen nous permettront d’être plus prescripteurs.

Néanmoins, nous sommes convaincus que c’est une question de volonté. Je peux vous apporter un témoignage opérationnel : nous avons lancé, pour la première fois au niveau du groupe, un grand accord-cadre pour référencer des solutions d’intelligence artificielle, incluant des capacités de calcul, des licences et de l’appui opérationnel. Nous nous sommes engagés sur un montant de 70 à 140 millions d’euros sur la durée de l’appel d’offres. Nous sommes très satisfaits du résultat : environ 70 % des solutions référencées répondent à nos critères d’autonomie stratégique et de souveraineté. C’est donc possible, mais cela nécessite beaucoup de volontarisme et de détermination, car ce n’est pas la solution de facilité.

Mme Cyrielle Chatelain, rapporteure. Je vous remercie pour ce témoignage sur les solutions que l’on peut mettre en œuvre. Avant un déploiement externe, avez-vous cartographié le niveau de dépendance au sein même du groupe Caisse des dépôts ? Quelle est aujourd’hui la part de solutions françaises ou européennes déployées en interne, et quel serait votre objectif cible si vous décidiez d’augmenter cette part ?

M. Arnaud Martin. L’IRN, officiellement lancé en janvier, nous permettra de mesurer précisément cette dépendance, même si les travaux ne sont pas totalement aboutis. Nous avons commencé à mailler l’ensemble de nos actifs en nous adossant aux fonctions critiques définies dans le cadre du règlement Dora (Digital Operational Resilience Act), qui s’applique à la Caisse des dépôts comme à tous les établissements bancaires et assurantiels. Cela nous permet d’envisager un effet de levier sur tout cet écosystème.

Nous avons identifié onze fonctions critiques, supportées par 165 applications. Il est important de ne pas se limiter aux applications, car l’IRN prend aussi en compte les infrastructures sous-jacentes. À ce titre, nous surveillons 154 composants techniques qui permettent d’exploiter ces onze fonctions critiques.

Je ne peux pas vous donner de résultats définitifs, que nous présenterons en juin à notre commission de surveillance, mais nous observons déjà quelques grandes tendances. Premièrement, nous avons un bon niveau de résilience sur nos fonctions critiques, car la majorité d’entre elles reposent sur des progiciels européens ou sur des développements internes. Deuxièmement, l’open source constitue une forte composante de notre résilience par rapport aux solutions américaines en mode SaaS (Software as a Service). Enfin, nous constatons une asymétrie : nos applications présentent un niveau de résilience et d’open source plus important que nos socles techniques, pour lesquels nous sommes plus tributaires des solutions américaines.

Cet exercice a été mené aux bornes de l’établissement public. Nous avons vocation à le décliner d’ici la fin de l’année à l’ensemble de nos filiales financières – La Banque Postale, Bpifrance et la Sfil – pour obtenir une vision unifiée du groupe.

Mme Catherine Mayenobe. En ce qui concerne la commande, la référence issue des travaux du Cigref avec le cabinet Asterès était qu’en moyenne, les entreprises européennes adressent 17 % de leurs commandes à des solutions européennes. Nous avons calculé la part des solutions numériques souveraines que nous utilisons, c’est-à-dire françaises, européennes et open source. Pour l’établissement public Caisse des dépôts stricto sensu, cette part est de 54 %, ce qui nous place dans une situation de départ nettement plus favorable que la moyenne.

Pour autant, ce diagnostic n’est pas uniforme sur l’ensemble de la chaîne de valeur. Nous avons une dépendance assez forte sur nos infrastructures, à hauteur de 74 %. Elle est moindre sur les briques de cybersécurité, un point d’attention de longue date, où un peu plus de la moitié des solutions sont d’origine européenne. En revanche, comme l’a dit Arnaud Martin, notre situation de départ est bonne sur les solutions métiers, puisque 75 % de nos applications sont européennes ou françaises, notamment grâce à des groupes comme Sopra Steria ou Murex.

Cette situation s’explique par le fait que le groupe Caisse des dépôts applique depuis toujours une politique très stricte de protection de ses données. Comme tout établissement financier, nous classifions nos données et avons édicté, à l’instar de l’État avec sa doctrine « cloud au centre », une doctrine très protectrice pour nos données les plus sensibles : celles des Français, des régimes de retraite, de l’épargne gérée ou des opérations des notaires. Nous avons donc interdit le recours à des solutions non souveraines pour le traitement de ces données, ce qui nous a largement empêchés de basculer jusqu’à présent dans le cloud et explique notre engagement dans l’initiative Numspot, conjointement avec Docaposte.

Mme Cyrielle Chatelain, rapporteure. Pour poursuivre cette réflexion, pourriez-vous détailler les conséquences que pourraient avoir ces dépendances, notamment sur les infrastructures ou les commandes publiques ? Bien que votre niveau d’autonomie soit déjà élevé, des dépendances subsistent, particulièrement sur les infrastructures. Quels sont les risques associés en termes d’activité pour la Caisse des dépôts en cas de blocage ou de problèmes de mise à jour ?

Ma deuxième question porte sur les fonctions plus communes, non stratégiques. Analysez-vous également les dépendances liées aux outils du quotidien, comme les systèmes de messagerie ou les suites bureautiques ?

M. Patrick Laurens-Frings. En nous appuyant sur la méthodologie de l’IRN, nous identifions en effet des risques de dépendance technologique et économique. Les augmentations brutales de tarifs que nous subissons de la part de fournisseurs non européens nous obligent à arbitrer des budgets en leur faveur, au détriment d’investissements dans d’autres domaines. Sur le plan technologique, nous sommes à la merci des feuilles de route des éditeurs, sans pouvoir influer dessus.

Cela plaide pour un plan de résilience ambitieux, fondé sur le diagnostic que nous finalisons ce semestre, dans le cadre de notre plan Horizon Numérique 2030. Vous pointez à juste titre les solutions collaboratives, qui sont un des sujets que nous devons adresser. Nous sommes effectivement, à l’heure actuelle, dans une dépendance totale vis-à-vis de l’éditeur Microsoft pour le cœur de la messagerie et des outils collaboratifs.

Cependant, nous avons déjà déployé des solutions souveraines pour la protection de nos données les plus sensibles. Nous faisons appel à plusieurs éditeurs français, notamment pour le stockage de données, l’outillage des délibérations du comité exécutif ou les échanges en situation de crise cyber. Tout l’enjeu, notamment à l’échelle européenne, sera de développer une démarche nous permettant d’envisager des alternatives sérieuses aux suites collaboratives américaines dont nous sommes de facto dépendants aujourd’hui.

Mme Catherine Mayenobe. Nous avons constaté que les Allemands disposent d’éléments assez probants qui nous inspirent, et nous allons donc travailler avec eux sur ce sujet.

M. Arnaud Martin. Pour compléter la réponse à votre question sur l’impact par fonction critique, je précise que notre déclinaison de l’IRN n’est pas globale. Nous mesurons la dépendance pour chaque fonction critique, en l’adossant à la modélisation de nos processus d’entreprise, qui sont par nature transverses. Nous aurons ainsi une vision précise : par exemple, pour le processus de paiement, nous connaîtrons notre niveau de dépendance exact, de même que pour le processus de cybersécurité.

M. le président Philippe Latombe. Juste une précision : au-delà des suites collaboratives, envisagez-vous de modifier le système d’exploitation (OS) des postes de travail, par exemple en recourant à Linux plutôt qu’à celui de Microsoft ? Est-ce que cela fait partie de vos réflexions et avez-vous une feuille de route sur ce sujet ?

M. Patrick Laurens-Frings. Cela fait partie du périmètre du « TechSprint EuroCommons » que j’évoquais. Le champ de ce programme inclut bien la question d’une alternative sur l’ensemble de la chaîne de valeur du numérique. La Caisse des dépôts s’inscrira dans ce programme en essayant d’être exemplaire, mais celui-ci étant en cours de lancement, nous n’avons pas encore de feuille de route précise sur le sujet que vous évoquez.

Mme Cyrielle Chatelain, rapporteure. J’ai une question simple : pourquoi attendre ce programme européen ? Il existe déjà des options, que ce soit sur Linux ou pour les suites bureautiques, avec un certain nombre de logiciels libres disponibles. J’imagine qu’il y a une raison et je serais intéressée de la connaître.

Par ailleurs, vous avez mentionné Docaposte et Numspot. Pourriez-vous nous préciser les choix technologiques qui ont été faits pour ces outils ?

M. Patrick Laurens-Frings. L’open source est clairement un gisement d’autonomie stratégique pour l’Europe. Il existe aujourd’hui des solutions qui portent le potentiel d’une véritable alternative pour les entreprises et les administrations. L’enjeu est cependant à l’échelle européenne, car il s’agit de combiner des solutions sur l’ensemble de la chaîne de valeur pour aboutir à une offre suffisamment riche fonctionnellement et profonde technologiquement pour de grandes entreprises comme la nôtre.

Le principal défi est celui de l’intégration. Les suites non européennes présentent un niveau d’intégration extrêmement élevé, tant sur le plan fonctionnel que technologique. Aujourd’hui, aucune solution européenne n’offre ce même niveau. Certes, on peut répondre à certaines fonctions avec des solutions spécifiques, mais ce qui nous manque, c’est l’effet d’intégration, avec comme point clé la gestion des identités et des habilitations, qui est un grand vecteur de « lock-in » de la part des alternatives non européennes.

L’enjeu du « TechSprint EuroCommons » est donc, dans une logique tirée par la demande des entreprises européennes, de créer des coalitions. Nous travaillons avec les équivalents du Cigref en Allemagne, aux Pays-Bas et en Belgique, et nous souhaiterions y associer l’Italie et l’Espagne. L’idée est de former des coalitions entre utilisateurs, fondations et communautés open source, et éditeurs. Nous avons absolument besoin des éditeurs, car ils apportent le niveau de support nécessaire aux grandes entreprises. Celles-ci ont besoin d’intégration, mais aussi d’un support dans la durée, que seuls les éditeurs peuvent fournir. C’est dans ce triangle que nous nous inscrivons. Nous espérons lancer un premier prototype d’action commune au deuxième trimestre et, d’ici la fin de l’année, apporter des dispositifs de financement pour combler le vide entre la création de l’actif open source, sa distribution par des éditeurs et la commande par les entreprises, qui représentent 80 % du marché. À cet égard, la France dispose d’une démarche intéressante avec le Tosit (The open source I trust), et sur l’exemple d’un poste de travail alternatif à Windows, une vingtaine d’entreprises ont déjà marqué leur intérêt pour investir dans des développements open source. La dynamique est donc très positive.

Concernant Numspot, pour simplifier, on peut identifier trois couches dans le cloud : les infrastructures physiques (serveurs, réseaux), les plateformes de développement et d’exploitation (PaaS), et les solutions applicatives (SaaS). Lorsque nous avons lancé Numspot, sous l’impulsion de Docaposte et en partenariat avec Dassault Systèmes et Bouygues Telecom, nous avons constaté qu’il n’existait pas de solution souveraine à l’échelle sur la couche intermédiaire, le PaaS. C’était un vrai déficit pour l’autonomie stratégique. Notre initiative se focalise donc sur cette couche, avec une double conviction : 100 % d’open source et une plateforme portable, multicloud, pour pouvoir être déployée sur des clouds européens comme sur les clouds internes des administrations et des entreprises. C’est fort de cette conviction que Numspot a pu, avec un consortium incluant OVHcloud et Docaposte, apporter une réponse souveraine à la problématique de la protection des données de santé dans le cadre du nouvel appel d’offres du Health Data Hub.

M. le président Philippe Latombe. Juste une précision sur Numspot : cela signifie-t-il que vous ne visez pas la partie SaaS à terme, alors même que l’on sait qu’une grande partie de la création de valeur des hyperscalers se situe sur cette couche ?

M. Patrick Laurens-Frings. C’est une remarque particulièrement pertinente. L’enjeu pour Numspot est de développer un conteneur qualifié SecNumCloud qui puisse accueillir des solutions, y compris des solutions non européennes, et les proposer à ses clients dans une logique de chaîne sécurisée de bout en bout. Notre priorité ira évidemment à l’accueil de solutions européennes, mais ce dispositif permettra aux clients de disposer de premiers éléments de souveraineté, même en conservant des solutions non européennes dans une phase intermédiaire. C’est à travers ce système de conteneurisation, fondé sur la technologie standard et open source Kubernetes, que nous pouvons proposer une intégration de bout en bout. C’est ce que Numspot est en train de faire, par exemple, avec Mistral AI, en proposant à ses clients un accès à ses solutions d’intelligence artificielle générative dans cette logique d’accueil au sein de son conteneur.

M. Arnaud Martin. J’ajoute un complément concernant les services historiques de Docaposte, comme l’identité numérique, la conservation sécurisée de documents ou Pronote. Il ne faut pas faire d’anachronisme : lorsque ces services ont été développés, la notion de souveraineté n’existait pas. On se basait uniquement sur des sujets de régulation et d’homologation, typiquement le règlement européen Electronic Identification, Authentication and Trust Services (eIDAS), qui a guidé leur construction et qui est toujours en vigueur. Le barycentre était alors positionné sur cette homologation et sur les services de chiffrement robustes, validés par des audits de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Mme Cyrielle Chatelain, rapporteure. Dans votre feuille de route, vous avez mentionné la question des communs numériques comme étant structurante. Pouvez-vous nous donner des exemples ? Par ailleurs, vous avez évoqué les fondations qui travaillent sur l’open source. Estimez-vous qu’elles devraient faire l’objet de financements publics pour éviter qu’elles soient noyautées par des financements privés d’acteurs ayant des intérêts particuliers ?

M. Patrick Laurens-Frings. Comme nous l’avons évoqué, l’open source est une véritable opportunité, à condition qu’il soit développé dans une logique de communs numériques. Le risque de capture de l’open source, que ce soit pour le privatiser ou pour en noyauter la gouvernance, appelle une vraie démarche de communs numériques à l’échelle européenne. C’est un des objectifs du « TechSprint EuroCommons » : créer des coalitions, mais aussi adresser la question de la gouvernance de ces communs.

Nous avons commencé à travailler sur ce sujet avec la Commission européenne, avec l’État français sur sa stratégie de communs numériques, et avec des véhicules à identifier pour accompagner cet effort. Nous avons par exemple initié une coopération avec l’Edic (European Digital Infrastructure Consortium), qui pilotera des communs numériques pour les États membres. Nous nous sommes également rapprochés de communautés et de fondations open source en France, en Allemagne et aux Pays-Bas, qui travaillent sur des sujets comme le cloud, la data, l’IA et les suites collaboratives. Notre approche est à la fois écosystémique et très attentive à la gouvernance, pour nous assurer que nous développons bien des communs numériques européens et non une simple utilisation tactique de solutions open source.

Mme Catherine Mayenobe. Je ne saurais dire s’il faut des financements publics, mais ce qui est sûr, c’est qu’il faut des financements. À la demande d’Olivier Sichel, nous allons étudier la possibilité de mettre en place un dispositif de garantie de prêts. Nous ne parlons pas de sommes colossales. Le chiffre d’environ 100 millions d’euros a été évoqué, ce qui permettrait déjà, à nos yeux, de construire un premier pan de ce mur d’autonomie stratégique. C’est donc à notre portée. L’objectif est de veiller à ce que ces solutions soient performantes pour les entreprises, car on ne peut pas imposer l’autonomie stratégique comme un objectif en soi. Les solutions doivent avant tout être performantes et compétitives, tout en servant les objectifs de souveraineté, d’éthique et de durabilité.

M. Patrick Laurens-Frings. Le constat que nous faisons est qu’il existe un vide de financement entre le besoin exprimé par de grands clients et leur capacité à passer commande pour de nouvelles fonctionnalités. Sur la base d’un accord entre clients, éditeurs et communautés open source, il faut amorcer le besoin de financement des acteurs de l’économie du logiciel libre pour leur permettre de financer quatre à six mois de développement, le temps que les commandes se concrétisent. Il s’agit d’initier la boucle de financement la plus efficace, qui est celle de la commande.

Cet écart de financement semble être de l’ordre de 100 millions d’euros. Ce chiffre n’est pas scientifique à ce stade, mais il est le fruit de premiers échanges. Il est sans commune mesure avec les investissements en dizaines ou centaines de milliards que l’on observe dans la technologie mondiale. Il s’agit d’un financement d’amorçage, et non d’un investissement dans les solutions elles-mêmes, lequel doit être porté par la commande privée. Nous imaginons que ce financement pourrait se mettre en place sur plusieurs années, le temps que le rôle de la commande privée puisse prendre le relais pour financer les évolutions.

Mme Cyrielle Chatelain, rapporteure. J’ai deux questions. Concernant l’indice de résilience, est-ce un tout nouveau référentiel ou s’appuie-t-il sur des référentiels existants ? Cela signifie-t-il que l’analyse des dépendances est une démarche nouvelle, ou était-ce un travail déjà mené auparavant ? Si c’est nouveau, pensez-vous qu’il faille aller jusqu’à une certification ?

Autre sujet : vous nous avez parlé des choix de Numspot. Les risques de dépendance sont multiples : il y a le risque juridique lié aux lois extraterritoriales, et le risque logiciel lié au kill switch. De ce que je comprends, Numspot est indépendant sur ces deux plans. D’autres offres, comme Bleu ou S3NS, reposent sur des technologies américaines. Pourriez-vous nous éclairer sur les différences entre Numspot et ces autres offres, et sur les avantages de chaque approche ?

M. Arnaud Martin. Sur l’IRN, certains de ses huit axes de restitution sont nouveaux, d’autres préexistaient. L’axe stratégique et géopolitique, qui inclut le risque de kill switch, est plutôt nouveau et a émergé de manière concomitante avec les récentes échéances électorales américaines. La notion de dépendance économique et juridique, bien que latente, est devenue plus exacerbée avec l’essor de certaines solutions, comme dans la virtualisation récemment.

En revanche, les axes de dépendance opérationnelle et de continuité d’activité existent depuis longtemps ; toutes les banques sont assujetties à des plans de poursuite d’activité. De même, la sécurité et la continuité, c’est-à-dire le volet cyber, sont des sujets qui montent en puissance mais qui existent depuis des décennies. L’axe environnemental est également émergent. Les axes technologiques, données, IA et chaîne d’approvisionnement (supply chain) existaient, mais prennent une importance croissante. Je pense notamment à la supply chain, sur laquelle Dora et Nis 2 mettent un accent particulier, car les dépendances et les attaques passent de plus en plus par ce biais.

La force de l’IRN réside dans cette conjonction d’axes nouveaux et anciens. Auparavant, les informations sur ces risques parvenaient souvent au niveau du DSI ou du directeur des risques, mais rarement jusqu’au comité exécutif. L’IRN permet de consolider cette information et de donner une vision à 360 degrés, dépassant les seuls sujets de cybersécurité ou de continuité d’activité.

M. Patrick Laurens-Frings. Concernant les dépendances technologiques des opérateurs de cloud, vous avez souligné le double besoin de sécurisation juridique et technologique. Des acteurs français répondent aux critères de sécurisation juridique. Du point de vue de la sécurité technologique, ce qui compte, c’est la maîtrise de l’actif technologique. Lorsqu’on s’appuie sur un actif non européen, la question est de savoir dans quelle mesure il peut être maîtrisé de bout en bout et dans la durée. Je ne peux répondre à la place des opérateurs concernés, mais la question de l’autonomie dans la maîtrise de l’évolution technologique de ces solutions se pose très clairement.

Mme Catherine Mayenobe. Sur ce point, l’un des axes d’analyse concerne les compétences. On sort de plusieurs décennies où les systèmes d’information ont été gérés sans que nous conservions les compétences pour les opérer ou les faire évoluer. C’est un réveil un peu brutal, mais opportun. Notre vision est que l’autonomie stratégique passe par notre capacité à opérer ces briques technologiques dans la durée et à savoir les faire évoluer. C’est cela, la véritable indépendance.

M. Arnaud Martin. Pour illustrer les différences entre les solutions, prenons la continuité d’activité. Avec une solution purement SaaS, une décision de l’éditeur de couper le service entraîne une rupture immédiate. Avec des infrastructures managées reposant sur des outils non souverains, l’opérateur pourra poursuivre le service un certain temps, jusqu’à ce que l’absence de patchs de sécurité ou d’évolutions rende la solution obsolète. À l’opposé, il y a la maîtrise complète des développements et de l’exploitation dans ses propres infrastructures, avec les compétences associées. On est vraiment sur des échelles de temps différentes, ce qui permet de percevoir les distinctions entre les solutions que vous avez citées.

M. le président Philippe Latombe. Des acteurs comme Orange et Capgemini, qui sont derrière l’offre Bleu, se sont lancés dans une course marketing à la souveraineté. Vous nous dites que c’est dans votre feuille de route, et nous voulons bien vous croire, mais d’autres le font aussi tout en vendant principalement des produits américains. Je pense à Capgemini, qui s’est fait une spécialité de l’implémentation de Salesforce sur Amazon Web Services (AWS), ou à Orange Business Services.

Comment peut-on vous différencier de ces opérateurs ? D’autres, comme Atos ou Sopra Steria, ne sont pas engagés avec la même force dans ce marketing de la souveraineté. Qu’est-ce qui permet aujourd’hui de distinguer les « bons » des « mauvais », les « vrais » des « faux » ? Comment nous, parlementaires, pouvons-nous faire la différence, d’autant que l’IRN n’est pas encore un instrument de mesure disponible ? Comment séparer le bon grain de l’ivraie ?

Votre approche avec Numspot et celle de Bleu sont totalement différentes. Comment peut-on se fier à la Caisse des dépôts et à ses filiales, alors que l’on observe par ailleurs des pratiques qui peuvent sembler contradictoires ? C’est une question particulière, mais je pense qu’il faut que nous abordions ce sujet.

M. Patrick Laurens-Frings. Un élément de réponse réside dans le rôle de place que nous essayons de jouer. La Caisse des dépôts est membre du Cesin et du Cigref. À l’occasion de la création du comité stratégique de filière (CSF) « Logiciels et solutions numériques de confiance », nous avons reçu un mandat du Cigref pour articuler la coordination entre ses membres et ceux du CSF. Nous avons des réunions régulières pour encourager l’arrimage entre l’offre et la demande.

Dans ce travail de place, nous nous sommes inscrits dès le début dans une logique de trajectoire. Nous avons promu ensemble l’adoption de l’IRN pour disposer d’éléments de mesure communs et de benchmarks. L’objectif est de pouvoir se comparer et, avec les membres du CSF, de travailler sur des feuilles de route pour une adoption volontariste de solutions françaises. Au sein du Cigref, nous assumons une « préférence européenne » au nom de la résilience numérique des entreprises.

Nous sommes confiants que dans ce travail de place, les différents acteurs pourront être évalués. Il nous est difficile de prendre parti, mais il est très important de poser un référentiel, une stratégie, et de faire en sorte que des coalitions utilisateurs-fournisseurs répondent aux enjeux de souveraineté mesurés par l’IRN. Nous ne sommes pas dans un acte de foi, mais dans la mesure par chaque entreprise de critères objectifs et dans la mise en œuvre de trajectoires de réduction de sa dépendance. C’est dans cette démarche que la Caisse des dépôts s’inscrit, en intervenant directement par l’investissement lorsque nous constatons des failles de marché, et en nous inscrivant, à travers Horizon Numérique 2030, dans des enjeux à l’échelle française et européenne.

Mme Catherine Mayenobe. Je répondrai en tant que consommatrice de solutions, et non productrice. En tant que magistrate à la Cour des comptes et cadre dirigeante, j’ai mené de nombreux programmes de cybersécurité, car c’est un risque majeur. Je me suis forgé des convictions, ce qui explique pourquoi la stratégie de la Caisse des dépôts est déjà assez robuste dans ce domaine. Nous adressons des sujets complexes comme les risques géostratégiques et nous demandons à nos équipes de les cartographier et de les maîtriser.

Aujourd’hui, le juge de paix doit être la conviction que nous, dirigeants, devons nous forger pour protéger nos modèles opérationnels et nos données. Le phénomène déclencheur qui rend tout cela beaucoup plus urgent est l’irruption de l’IA générative. Pourquoi le groupe Caisse des dépôts ne s’est-il pas soucié, jusqu’à récemment, de sa dépendance à Microsoft 365 ? Parce que nos données sensibles n’y étaient pas ; elles étaient dans nos applications sur site (on-premise), que nous savions protéger. Aujourd’hui, je ne sais plus comment gérer l’arrivée de dispositifs comme Copilot dans l’environnement de travail de mes collaborateurs, où je n’ai plus aucune garantie sur la traçabilité des données et les risques de fuite.

Il faut dire aux dirigeants, publics comme privés, qu’ils doivent se former, apprendre et devenir prescripteurs vis-à-vis de leurs équipes. Car, comme je l’ai dit, ce n’est pas la solution de facilité, et cela coûte aussi plus cher. Cet après-midi, je vais présider un comité d’engagement pour décider de déployer une solution souveraine – celle de Mistral AI – sur l’ensemble des postes de travail de la Caisse des dépôts. Je le fais parce que je veux être sûre qu’aucun collaborateur, pour rédiger un « prompt » ou faciliter son travail, n’enverra de données sensibles chez un opérateur non souverain. Je sais combien cela va me coûter, un peu plus cher que d’autres solutions. Mais je considère que ce surcoût en vaut la peine. Je vais renoncer à déployer Copilot. Je sais combien cela m’aurait coûté, et je serai tout à fait gagnante en ne le déployant pas et en déployant à la place une solution souveraine sur Numspot. Ce sont des choix d’entreprise. Il faut savoir pourquoi on les fait. À l’ère de l’intelligence artificielle, il nous paraît absolument clé de développer ces réflexions, en particulier pour toutes les données qui touchent à la sphère publique.

Mme Cyrielle Chatelain, rapporteure. Votre intervention a partiellement répondu à la question que j’envisageais de poser. Pourriez-vous cependant développer le sujet de l’IA que vous avez évoqué ? Un appel d’offres stratégique a été remporté par Computacenter et Sopra Steria pour le déploiement de l’IA générative. Je souhaiterais savoir s’il s’agit d’une IA qui sera développée spécifiquement pour vos besoins et fondée sur des technologies européennes, ou si l’on s’oriente plutôt vers une IA « sur étagère », c’est-à-dire une version de ChatGPT présentée sous un autre habillage.

M. Patrick Laurens-Frings. L’intelligence artificielle soulève un enjeu très fort et diffus autour des données. Plus encore que dans le monde pré-IA, la question de l’alimentation des modèles, de leur entraînement et de la manière dont les données, qu’elles soient passées en contexte ou qu’elles nourrissent l’IA, sont utilisées est particulièrement ardue à appréhender. La prudence est donc encore plus de mise qu’avec des technologies beaucoup plus intégrées et localisées. Par conséquent, le choix des solutions et des modes d’hébergement est absolument décisif.

Dans le cadre du cahier des charges de notre appel d’offres, nous avons été particulièrement attentifs à l’ensemble de la chaîne de valeur, et pas simplement à la solution d’IA elle-même. Nous avons exigé un catalogue proposant des solutions couplées à leur mode d’hébergement. Les soumissionnaires devaient donc fournir un catalogue mixte, avec des solutions déclinées sur différents modes d’hébergement, y compris des modes d’hébergement qualifiés SecNumCloud pour les données les plus sensibles. C’est un point absolument majeur qui garantit au groupe Caisse des dépôts – car, comme le disait Catherine Mayenobe, il s’agit d’un appel d’offres mené en groupement à l’échelle du groupe – de disposer d’un outil où le mode d’hébergement et la solution sont très étroitement liés, assurant ainsi une protection maximale des données. Le catalogue qui a été retenu dans le cadre de ce marché public contient 70 % de solutions souveraines.

Mme Catherine Mayenobe. Cela signifie que nous avons réussi à réaliser des économies d’échelle pour acheter y compris des solutions souveraines. Chaque entité le fera selon son appétit pour le risque et sa doctrine de protection des données, mais nous sommes absolument ravis des résultats de cette consultation. Ils démontrent qu’il est possible de concilier le choix et la protection, en laissant aux différentes entités la liberté de consommer en fonction de la sensibilité de leurs données. Notre conviction est que nous nous dirigeons tous vers des systèmes d’information hybrides. Cette hybridation en matière de recours à des solutions SaaS s’applique dans ces conditions et nous permettra de couvrir la dimension manquante de la protection de nos données, tout en utilisant l’IA. Sans cela, nous n’aurions pas pu nous inscrire dans cette dynamique.

Mme Cyrielle Chatelain, rapporteure. Je ne sais pas si vous avez le recul nécessaire, mais je comprends qu’il existe plusieurs offres, dont 70 % sont européennes et souveraines. A-t-on une idée de celles qui sont les plus plébiscitées ? Parmi les freins que nous avons évoqués, vous avez mentionné les solutions technologiques, qui existent, et les compétences, qui sont présentes. Un troisième frein souvent cité est la difficulté du changement et la résistance des habitudes. Il est vrai que, face à des marchés où certains opérateurs occupent une place structurante, le changement est parfois difficile. Constatez-vous que, malgré la disponibilité de ces offres souveraines, ce sont les 30 % d’offres non souveraines qui sont les plus utilisées ?

Par ailleurs, j’imagine que vos développements s’inscrivent dans le cadre des normes SecNumCloud et de la directive « cloud au centre ». Je préfère cependant poser la question pour que vous puissiez y répondre concrètement.

Mme Catherine Mayenobe. Oui, en termes de doctrine, nous nous inscrivons dans cette directive, ne serait-ce que parce que la Caisse des dépôts exerce des activités de mandat pour le compte de l’État ; nous nous sommes donc alignés sur la doctrine de l’État. De plus, comme j’espère vous l’avoir montré, cela correspond à nos convictions, ce qui est une heureuse coïncidence.

Nous n’avons pas encore de recul, car cet appel d’offres, dont je suis très fière, a été mené très rapidement : nous l’avons publié en novembre et attribué en février. Nous sommes satisfaits de constater que le catalogue contient les produits que nous souhaitons acheter. Nous sommes donc en avance de phase. Cet après-midi même, je présente en comité d’engagement le projet concernant les dix mille postes de travail de la Caisse des dépôts. Nous allons commencer et nous verrons dans la durée comment tout cela se régule.

Il était essentiel pour nous de démontrer que nous étions capables d’obtenir des conditions de mutualisation et d’achat de masse. C’est une condition nécessaire pour rendre accessibles les niveaux de sécurité les plus élevés et pour éviter un écart de coût trop important par rapport à des solutions qui continueront d’être utilisées, car, je le redis, tout ne nécessite pas d’être sécurisé dans les mêmes proportions. Je pense que cette démonstration méritait d’être faite et partagée avec vous. Elle signifie qu’il faut dire à toutes les entités soumises, comme nous, au code de la commande publique qu’il n’y a pas de fatalité. La démarche est parfois complexe, mais il est possible d’accéder à une pluralité de dispositifs dans de bonnes conditions économiques.

M. le président Philippe Latombe. Avant de redonner la parole à madame la rapporteure, j’aimerais aborder ce que l’on pourrait appeler l’éléphant dans la pièce, un sujet qui fait partie de votre activité mais que nous n’avons pas encore évoqué. Je pense notamment à Bpifrance, qui accompagne de nombreuses entreprises en phase d’amorçage. Bpifrance a, à une époque, passé un partenariat avec AWS, et les entreprises qui ont bien réussi, comme Alan ou Doctolib, sont quasiment toutes associées à Bpifrance.

On observe ici une contradiction avec la philosophie que vous avez décrite, qui consiste à lier les contrats d’IA à l’hébergement. Dans ces cas, la couche applicative est associée à un hébergement non souverain. Or, ces entités travaillent beaucoup avec le secteur public : Alan a remporté un contrat avec le ministère des finances, et Doctolib est en situation quasi monopolistique – ce n’est pas moi qui le dis, c’est l’Autorité de la concurrence, qui l’a sanctionné il y a quelques semaines – sur la prise de rendez-vous et participe à l’espace numérique de santé.

Comment la philosophie que vous avez inscrite dans votre ADN et votre feuille de route se décline-t-elle au sein de filiales comme Bpifrance ? Celles-ci sont en lien avec des entreprises qui, pour se développer, voient dans les partenaires comme AWS, Google ou Microsoft une possibilité d’amorçage via les crédits cloud, ce qui réduit d’autant le financement apporté par Bpifrance. Peut-on aujourd’hui modifier cet état de fait pour que la philosophie de la Caisse des dépôts s’étende jusqu’à sa filiale Bpifrance ?

Mme Catherine Mayenobe. Je ne sais pas s’il s’agit d’un éléphant dans la pièce, mais c’est en tout cas un des sujets qu’Olivier Sichel a bien l’intention de traiter. Il est porté par la doctrine que j’évoquais, qui traduit la volonté d’Olivier Sichel d’assurer une cohérence dans toute la stratégie du groupe, entre ce que nous finançons, la façon dont nous opérons et les services que nous consommons. Nous sommes au début de cette aventure ; Olivier Sichel a rendu publique sa feuille de route il y a quelques semaines, et je peux vous assurer de sa détermination à porter cette préoccupation dans notre rôle d’actionnaire. J’interviendrai dans les semaines qui viennent auprès de tous les administrateurs du groupe Caisse des dépôts, car c’est une orientation que nous devons défendre au sein des conseils d’administration. Nous la porterons avec le soutien très fort de notre commission de surveillance, dont je salue le rôle, et notamment celui de M. Le Fur, qui fut mon rapporteur lorsque j’ai présenté la feuille de route Horizon 2030 à cette commission. Cela relève de la politique de risque.

Oui, c’est un chemin sur lequel nous ne partons pas tous de la même ligne de départ, mais que nous aurons à cœur d’accompagner dans nos différentes dimensions de financeur, d’opérateur et de consommateur, car les problématiques ne sont pas tout à fait les mêmes.

Au bout du compte, et je reviens sur ce point, nous ne pouvons pas faire l’impasse sur la compétitivité des solutions qui répondent à nos critères d’autonomie stratégique. C’est un point nodal de la feuille de route de Numspot, car il serait illusoire de croire que les entreprises adopteraient des solutions non performantes qui freineraient leur agilité ou pénaliseraient leur compétitivité. Je pense qu’une direction politique aussi claire que celle portée par Olivier Sichel, réitérée et défendue dans les conseils d’administration, associée à une capacité à développer des solutions compétitives, est la voie que nous devons tracer. Toute autre solution me paraîtrait, à titre personnel, artificielle ou court-termiste. Je ne crois pas que nous puissions nous inscrire dans un chemin de compétitivité européenne ou globale si nous ne sommes pas capables d’exercer ce travail de conviction et d’atteindre cette performance.

Mme Cyrielle Chatelain, rapporteure. Pour terminer cette audition, je souhaitais vous entendre en tant qu’investisseur sur la situation économique globale, au travers de trois questions.

La première concerne le retour sur investissement de l’IA. Une étude du Massachusetts Institute of Technology (MIT) parue en janvier montre que si 90 % des organisations explorent le déploiement de l’IA générative et 40 % l’ont déjà fait, 95 % d’entre elles n’observent aucun retour sur investissement. Quelle est votre analyse de ce phénomène ? N’a-t-on pas tendance à confondre IA et IA générative et à ne pas poser la question des besoins réels, alors que des formes d’IA non génératives pourraient potentiellement mieux y répondre ?

La deuxième question porte sur l’impact de la bulle spéculative sur le hardware. On observe une bulle importante qui peut mettre en difficulté certaines structures, soit parce que les stocks ont été préachetés, soit parce que les prix sont devenus prohibitifs.

Enfin, ma troisième question concerne les départs d’entreprises vers les États-Unis, justifiés par l’insuffisance du marché européen des capitaux. Le cas le plus récent est celui de Criteo qui, après s’être implanté aux États-Unis dans les années 2010, annonce son départ via le Luxembourg. Ce manque de capitaux est-il la véritable raison, ou d’autres motivations pourraient-elles expliquer ce départ ?

M. Philippe Blanchot, directeur des relations institutionnelles, internationales et européennes. Ce manque de profondeur et cette fragmentation des marchés de capitaux en Europe commencent à être assez bien documentés, je pense notamment aux rapports de MM. Draghi et Noyer. Il nous est difficile d’estimer les pertes en actifs stratégiques. Vous avez cité Criteo, mais ce que nous constatons de façon empirique, c’est qu’au-delà de 100 millions d’euros, une entreprise ne trouve pas sur les marchés européens de quoi financer sa croissance.

Ce scale-up peut être compensé par des introductions en bourse (IPO), mais ce n’est pas une solution envisageable pour toutes les entreprises, qui n’ont pas toutes la maturité ou la solidité de gouvernance nécessaire. Pour vous répondre rapidement, cette fragmentation des marchés de capitaux, ce manque de profondeur et le fait que nous ayons autant de bourses que d’États membres nous semblent un véritable frein au développement des entreprises technologiques en Europe et à leur passage à l’échelle.

Mme Catherine Mayenobe. Je peux répondre sur la partie que je connais, notamment les centres de données. Un article très intéressant de Gilles Babinet a tenté de calculer, à l’échelle mondiale, le niveau de croissance que les économies occidentales devraient atteindre pour consommer toutes les capacités de calcul annoncées. Le compte n’y est pas. Ou alors, ce serait une excellente nouvelle pour la croissance, mais on voit bien que les chiffres ne correspondent pas. En tant que vice-présidente de RTE, je peux vous dire que, de mémoire, seulement 26 % de la capacité installée des centres de données existants est actuellement utilisée. On observe aujourd’hui une prévision de développement des capacités de calcul qui peut paraître très importante si l’on tente de la corréler aux outils de production. C’est un point d’attention pour RTE, qui doit gérer cet afflux de projets pour éviter que certains acteurs ne préemptent des capacités de raccordement sur des zones rares mais identifiées pour un raccordement à court terme. Plusieurs indicateurs nous montrent qu’il faudra être très prudent dans la manière dont ces investissements se dérouleront. Pour autant, nous savons que c’est aussi un facteur de compétitivité.

Concernant l’adoption de l’IA, je partage votre conviction, madame la rapporteure. Comme pour le cloud, les gens parlent de « l’IA » comme d’un bloc, alors que la réalité est plus complexe. On fait de l’IA depuis très longtemps. Dans une entité comme la Caisse des dépôts, la « bonne vieille » IA d’automatisation ou de prédiction est beaucoup plus génératrice de gains de productivité que les cas d’usage actuels de l’IA générative, où les gains sont souvent latents, diffus et plus difficiles à appréhender.

On a cependant l’impression d’être dans une phase où, après avoir mené de nombreuses preuves de concept (POC) et exploré dans toutes les directions, les entreprises commencent à avoir des convictions claires sur les activités qui peuvent bénéficier de l’IA. Toutefois, la mise en œuvre est beaucoup plus ardue qu’on ne l’imaginait. Les sondages montrent que les PDG repoussent les échéances des impacts de l’IA, car, en examinant l’état de leurs données, ils n’ont pas tous eu de bonnes surprises. Sans données de qualité, pas d’IA de qualité. Ce sont des investissements lourds mais absolument nécessaires.

De plus, intégrer l’IA dans les processus opérationnels, c’est-à-dire dans les systèmes d’information, est tout sauf trivial. Tant que ces processus ne sont pas automatisés, on ne peut en tirer de réels bénéfices ni passer à l’échelle. De ce côté-là non plus, les choses ne sont pas simples. Nous attendons ce que l’on appelle l’IA embarquée, qui viendra des éditeurs de logiciels, car nous ne voulons pas réinventer la roue avec des investissements non rentables. Or, si tous les éditeurs nous promettent l’arrivée imminente de l’IA, nous n’avons aujourd’hui aucune lisibilité sur leurs feuilles de route. Nous sommes donc dans un cycle d’investissement qui prend du temps.

Le dernier obstacle est la conduite du changement. L’IA peut être un sujet très anxiogène pour les collaborateurs. Cela nécessite beaucoup de pédagogie et de transparence. Au sein du groupe Caisse des dépôts, nous avons très tôt engagé la consultation de nos instances représentatives du personnel, car il faut assumer les conséquences de ce déploiement en termes de compétences. Nous travaillons par exemple avec la Human Technology Foundation, car nous sommes persuadés qu’il faut garder l’humain au centre de ces projets. Un énorme effort d’acculturation et de formation est nécessaire. Depuis deux ans, nous avons rendu obligatoires des formations pour que les collaborateurs sachent ce qu’est l’IA, ce qu’elle n’est pas, et apprennent à l’utiliser comme un outil qui les rend plus efficaces, et non qui prend leur place, ce qui n’est pas notre conviction.

M. le président Philippe Latombe. Je vous remercie pour cette audition et d’avoir proposé de venir. Je vous invite à suivre nos prochaines auditions. Si des sujets que nous n’avons pas abordés émergeaient, ou si vous souhaitiez compléter certains points, n’hésitez pas à nous adresser des contributions écrites.

M. Philippe Blanchot. Sur le sujet du financement, en effet, nous avons des réponses beaucoup plus longues que nous vous adresserons par écrit.

La séance s’achève à douze heures cinquante-cinq.

———

Membres présents ou excusés

Présents. – M. Éric Bothorel, Mme Cyrielle Chatelain, M. Philippe Latombe, M. Hervé Saulignac, M. Vincent Thiébaut