— 1 —

La séance est ouverte à dix heures cinq.

La commission entend lors de sa table ronde sur les infrastructures numériques :

– Mme Ophélie Coelho, chercheuse associée à l’Institut des relations internationales et stratégiques (Iris), doctorante au Centre internet société du CNRS (CIS) et au centre d’analyse et de recherche interdisciplinaires sur les médias (Carism-Paris-Assas) ;

– Mme Lou Welgryn, secrétaire générale de Data for Good, et Mme Alexandra Lutz, chargée de plaidoyer ;

– Mme Francesca Musiani, directrice de recherche au CNRS, co-fondatrice et directrice du CIS.

Mme Cyrielle Chatelain, rapporteure. Nous poursuivons les auditions de la commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique, et les risques pour l’indépendance de la France. Le président de la commission, M. Philippe Latombe, vous prie de l’excuser ; je présiderai la séance en son absence, en présence de plusieurs de nos collègues, que je remercie.

Cette table ronde portera notamment sur la question des infrastructures numériques, plus particulièrement les centres de données, mais également les câbles sous-marins, les réseaux et leur gouvernance. Je souhaite la bienvenue à Mme Ophélie Coelho, chercheuse associée à l’Institut des relations internationales et stratégiques (Iris) et doctorante au Centre internet et société du CNRS ; à Mme Lou Welgryn, secrétaire générale de Data for Good, et à Mme Alexandra Lutz, chargée de plaidoyer au sein de Data for Good ; enfin, à Mme Francesca Musiani, directrice de recherche au CNRS et directrice adjointe du CIS.

Je dois vous rappeler deux formalités propres aux commissions d’enquête. La première est de déclarer tout intérêt public ou privé de nature à influencer vos déclarations. La seconde, en vertu de l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires, est de prêter serment de dire la vérité, toute la vérité, rien que la vérité. Je vous inviterai donc chacune à votre tour à lever la main et à dire : « Je le jure ».

(Mmes Ophélie Coelho, Lou Welgryn, Alexandra Lutz et Francesca Musiani prêtent serment.)

Mme Alexandra Lutz, chargée de plaidoyer au sein de Data for Good. L’association que je représente a été fondée il y a dix ans et rassemble aujourd’hui huit mille bénévoles, spécialistes de la donnée et citoyens engagés. Notre ambition est de mettre le numérique au service de l’intérêt général.

Pour nous, la souveraineté numérique ne doit pas être confondue avec l’autarcie. La question est plutôt de savoir comment nous pouvons, en tant que citoyens, co-décider de notre avenir commun et, en l’occurrence, définir le numérique dont nous avons besoin.

Je souhaite d’abord commenter certains présupposés qui ont cours, tant au niveau européen que français. Le premier est que la localisation des infrastructures en France, notamment les centres de données, ne suffit pas à garantir notre souveraineté. Nous savons que 65 % à 70 % du marché du cloud sont contrôlés par trois hyper-fournisseurs américains : AWS, Microsoft et Google. L’idée reçue est que leur implantation en France nous permettrait de mieux les soumettre à notre juridiction. Pourtant, le constat est plutôt celui d’un mouvement de simplification que nous considérons comme une forme de dérégulation. Nos lois semblent s’adapter aux géants du numérique, et non l’inverse.

Nous observons au niveau européen un lobbying massif et gigantesque de la part de ces acteurs. Selon un rapport du Corporate Europe Observatory, qui a analysé les dépenses inscrites au registre de transparence de l’Union européenne, les montants investis par les géants du numérique dans le lobbying dépassent ceux des dix plus grandes entreprises des secteurs pharmaceutique, financier et automobile réunis. Le nombre de lobbyistes du secteur est supérieur à celui des députés européens et ils obtiennent en moyenne trois rendez-vous par jour au Parlement et à la Commission européenne. Il en résulte que le mouvement de simplification actuel affecte précisément les textes les plus contestés par les géants du numérique, à savoir le RGPD, le règlement sur l’IA, ainsi que de nombreuses protections environnementales et consultations citoyennes.

Nous pensons à tort qu’implanter ces acteurs en France suffirait à les contrôler. Nous constatons que cela ne les rend pas imperméables à l’extraterritorialité des lois étrangères. Je citerai deux exemples que vous connaissez probablement. Le premier est celui du juge Nicolas Guillou, qui, visé par un Executive Order du président Trump, ne peut plus accéder à aucun de ses comptes ni effectuer de paiements en ligne, se retrouvant de fait renvoyé aux années 1990. C’est un ressortissant français qui, bien qu’en France, n’a plus accès à rien. Le second exemple est la déclaration du représentant de Microsoft France devant une commission d’enquête du Sénat l’année dernière, affirmant que, si les États-Unis l’obligeaient, en vertu du Cloud Act, à transmettre des données, il serait contraint de le faire. Ces présupposés ne nous protègent donc pas par la simple relocalisation.

Face à ces observations, nous constatons qu’un travail législatif est en cours, que ce soit avec la loi de simplification de la vie économique ou la proposition de loi du Sénat sur l’implantation de centres de données. Selon nous, ces deux textes vont dans la mauvaise direction, car ils visent à supprimer des protections environnementales et des garanties de participation citoyenne au nom de la compétitivité et de la souveraineté. Le problème est que ces efforts s’inscrivent dans un contexte de monopole où certains acteurs dominent le marché. Supprimer des obligations ne fera que les renforcer, au lieu de permettre à de nouveaux entrants d’émerger. Par ailleurs, nous avons remarqué que la loi de simplification de la vie économique comportait une garantie de souveraineté ajoutée par votre chambre, qui n’a été reprise ni en commission mixte paritaire, ni dans la proposition de loi sur l’implantation des centres de données.

Le problème, à notre sens, est que nos efforts actuels révèlent une véritable incapacité, en France comme en Europe, à défendre et à créer notre propre modèle numérique. Nous souffrons d’une dépendance idéologique vis-à-vis du modèle américain, caractérisé par le gigantisme, l’hyperconcentration des infrastructures et l’extraction massive de données. Le but n’est pas de créer un équivalent européen aux géants américains, mais de dessiner un modèle européen propre, qui soit plus décentralisé et plus résilient.

Mme Lou Welgryn, secrétaire générale de Data for Good. Pour nous, la question de la souveraineté s’ancre dans celle de la résilience. Récemment, l’économiste Adrien Bilal a montré qu’un degré de réchauffement climatique entraînerait une perte de 23 % du PIB potentiel. Nous avons tendance à oublier cette réalité, le réchauffement climatique étant souvent éclipsé par les questions numériques, alors qu’il est fondamental.

La trajectoire que nous suivons en matière d’infrastructures en France est exponentielle. Pour rappeler quelques chiffres, la recherche de 63 nouveaux sites a été annoncée, ce qui représenterait l’équivalent de 28 gigawatts de puissance installée. Pour vous donner un ordre de grandeur, 28 gigawatts correspondent à la moitié de la puissance nucléaire installée en France. Ce gigantisme aura de forts impacts locaux : une augmentation de la consommation d’électricité, des tensions sur les ressources, sur les métaux, en perpétuant des logiques d’extraction, et d’énormes rejets de chaleur, aujourd’hui très peu récupérée en France, générant des phénomènes d’îlots de chaleur. Des études commencent à montrer une augmentation de plusieurs degrés à proximité des centres de données.

À l’échelle nationale, les infrastructures numériques représentent aujourd’hui environ 2,2 % de la consommation électrique française. Un nouveau rapport de l’Agence de la transition écologique (Ademe) indique que la tendance actuelle nous amène à une multiplication par 3,7 de cette consommation et conclut à l’incompatibilité totale de cette trajectoire avec l’accord de Paris. Les travaux du Shift Project mettent également en évidence les conflits d’usage à venir. Les besoins de la transition écologique exigent de plus en plus d’électrification, tandis que les tensions croissantes sur les ressources énergétiques pousseront également vers davantage d’électrification, ce qui risque de créer rapidement des conflits d’usage. Il convient aussi de nuancer l’argument selon lequel la France connaîtrait actuellement un surplus électrique ; cela ne préjuge en rien des conflits à venir lorsque ces infrastructures fonctionneront à pleine capacité, face aux besoins de la transition énergétique, notamment pour le chauffage et l’électrification des usages et des transports. Notre résilience est donc conditionnée par les ressources disponibles et notre capacité à les répartir équitablement. Or ces centres de données créent une tension sur cette capacité.

Le dernier point que nous souhaitions aborder et qui nous semble fondamental bien que peu discuté est la nécessité de questionner notre rapport au numérique et de sortir du mythe, largement instillé par le secteur, selon lequel la plupart de nos problèmes actuels pourraient être résolus par plus de numérique. Or celui-ci crée en réalité de nombreux problèmes qu’il faut ensuite résoudre. Il faudrait interroger la nécessité de concentrer tous les investissements dans de gigantesques centres de données, pour des usages qui sont en réalité souvent forcés, comme l’IA générative.

De plus, le numérique n’agit pas comme un levier de décarbonation. Une étude récente de l’Ademe a analysé 33 cas d’usage en France où le numérique était censé permettre de réduire les émissions. Ses conclusions sont que toutes les solutions envisagées n’offrent au mieux que des réductions marginales, entre 0,3 % et 2,2 % des émissions et ne font qu’accompagner des tendances existantes. Le numérique n’est donc absolument pas une solution en soi aux problèmes environnementaux. Il est important de garder cela à l’esprit lorsque nous promouvons ces technologies partout, car elles peuvent aussi créer de nouvelles vulnérabilités.

Finalement, cela nous ramène à la question du modèle numérique que nous voulons. Souhaitons-nous reproduire le gigantisme américain ou promouvoir un numérique beaucoup plus décentralisé, interopérable, fondé sur des protocoles ouverts, avec une portabilité qui permette aux utilisateurs de quitter rapidement un service pour un autre ? Cette réflexion doit partir des besoins réels et avérés des citoyens. Au lieu de les écarter, nous devons réintroduire beaucoup plus de démocratie dans la construction du numérique.

Mme Ophélie Coelho, chercheuse associée à l’Iris et doctorante au CIS. Je mène des recherches depuis plusieurs années sur les géants du numérique et plus généralement sur les questions de souveraineté numérique, bien que j’emploie peu ce terme. J’ai par ailleurs un parcours dans l’industrie du numérique depuis 2009, où j’ai occupé des postes de développement puis de chargée de projets, ce qui oriente ma recherche et ma compréhension du secteur.

Il faut souligner que le numérique est un secteur extrêmement complexe. Nous n’avons pas seulement affaire aux géants du numérique que l’on cite souvent ; il existe une grande complexité et de nombreuses couches techniques qui font interagir un écosystème complet. Cependant, ce n’est pas par facilité intellectuelle que j’ai orienté mon travail sur l’analyse de ces acteurs et de ce que j’ai fini par appeler un « impérialisme technologique » ou un « techno-impérialisme », selon les écoles. La raison en est que nous sommes face à un modèle technologique particulier, un modèle systémique qui concentre progressivement les capacités d’influence et de pouvoir.

Comment cela se manifeste-t-il ? Tout d’abord, ces entreprises (Google, Microsoft, Amazon Web Services (AWS), mais aussi des acteurs comme Equinix ou Digital Realty, leaders mondiaux des centres de données, ou encore des acteurs chinois comme Huawei ou Transsion pour le mobile en Afrique) jouent un rôle d’intermédiation. Elles constituent un levier de puissance en se plaçant entre les journalistes et leur public, les politiques et leurs électeurs, les commerçants et leurs clients, et parfois même entre les citoyens et les services publics. Cette position intermédiaire leur confère une puissance considérable, car elles peuvent orienter les flux de visibilité et de diffusion de l’information, en privilégiant certains contenus par rapport à d’autres.

Leur autre levier de puissance, souvent invisibilisé, est leur rôle de passerelle technique. Si l’on a beaucoup parlé de leur place d’intermédiaire, on a moins évoqué leur fonction de nœud de dépendance, de point de passage obligé au niveau de l’infrastructure logicielle et physique. Heureusement, ce sujet gagne en visibilité dans les débats publics depuis un an ou deux. En tant que passerelle technique, ils prennent possession et privatisent des nœuds importants sur presque toutes les couches technologiques. Partis du logiciel et du web, ils se sont progressivement étendus aux supports de mobilité (ordinateurs, mobiles), aux câbles sous-marins, aux satellites pour certains, et même à des couches réseau avec des réseaux privés qui se superposent aux réseaux existants, et aujourd’hui aux puces électroniques. Nous observons une prise de contrôle de passerelles techniques essentielles. Le leader en la matière reste Google qui, à l’exception des satellites, a déjà des positions fortes dans tous les domaines que j’ai cités.

Un autre de leur levier, très important, relève de l’intégration horizontale et verticale. D’une part, un levier transsectoriel : ils agissent de manière transversale sur les secteurs clés de la société, la santé, la sécurité, la mobilité, l’administration, l’éducation. Ils ont ciblé ces secteurs non seulement comme des marchés d’utilisateurs, mais aussi comme des points où s’établir en tant qu’intermédiaires et passerelles techniques. Ils ont également ciblé d’autres géants, comme les grandes banques, les grands groupes pharmaceutiques ou les grands opérateurs de télécommunications, qui ne sont d’ailleurs plus si « grands » aujourd’hui. Ils sont devenus des acteurs pesant dans la chaîne de valeur de tous les secteurs clés de la société moderne. D’autre part, l’intégration verticale, ou ce que l’on peut appeler un levier de puissance d’empilement technologique, leur permet de constituer progressivement un écosystème technique complet.

Tout cela mène à deux effets cumulatifs extrêmement puissants. Tout d’abord, la concentration progressive de l’activité au sein de ces acteurs ; ensuite, un levier écosystémique : une fois l’usage concentré au sein de leurs infrastructures et de leur modèle technologique, ils peuvent plus aisément diffuser certaines informations, certains usages et même certaines croyances portées par leurs technologies.

Pour ce faire, ils s’appuient sur ce que j’appelle des « passeurs de technologies ». Ce sont, par exemple, les sociétés de conseil, souvent américaines, mais aussi les développeurs formés à leurs technologies, qui ont été formés quasi exclusivement à des technologies propriétaires. Il est rare que ces profils connaissent bien les technologies open source ou européennes. Une fois sur le marché du travail, ces ingénieurs et techniciens deviennent les meilleurs ambassadeurs de ces géants, car leur accès à l’emploi dépend de ces technologies privées. Ils font carrière en tant que passeurs de technologies, ce qui a des implications importantes en matière de formation.

Ce levier écosystémique est extrêmement puissant. Il explique pourquoi ils ont ciblé les formations, avec des écoles, des certifications développées par leurs soins, allant jusqu’à la publication d’une brochure par le ministre de l’éducation nationale en partenariat avec Google Éducation. Ces modèles systémiques finissent par dominer un grand nombre d’usages et pèsent sur notre souveraineté. C’est pourquoi je n’emploie que peu le terme de « souveraineté numérique », qui me semble difficile à délimiter. Le véritable enjeu est de savoir comment ces leviers de puissance cumulés agissent sur notre souveraineté politique, c’est-à-dire sur notre capacité à choisir. Pour trouver des réponses, il est essentiel de comprendre et de bien repérer ces différents mécanismes.

Vous souhaitiez aborder la question de la Chine. Je parle d’impérialisme technologique, et il en existe plusieurs types. Nous avons beaucoup évoqué l’impérialisme de l’État néolibéral américain, qui collabore avec ses géants du numérique pour favoriser leur montée en puissance, notamment depuis 2001 avec les grands investissements dans le renseignement. Cependant, les États-Unis se trouvent aujourd’hui confrontés à des entreprises devenues si puissantes qu’ils peinent eux-mêmes à les réguler. Le trumpisme est, d’une certaine manière, une réaction à ce phénomène. Les récents procès antitrust contre Google, par exemple, n’ont pas eu de conséquences majeures, ce qui était prévisible.

Le modèle chinois est très différent. Il repose sur un choix clair de limiter la formation d’entités privées trop puissantes qui pourraient devenir des empires informels, à l’image des géants américains. Dans le domaine des câbles sous-marins, par exemple, c’est très parlant. Alors que de nombreux câbles appartiennent aujourd’hui à des géants américains systémiques, la Chine, voyant Huawei s’intéresser à ce secteur, a décidé de le maintenir sous le contrôle des opérateurs télécoms, partageant ainsi le pouvoir. Huawei reste néanmoins un acteur qui grandit, grâce à une certaine connivence et une proximité politique avec le parti-État. Ce sont donc deux modèles de gouvernance technologique différents, mais qui ne sont pas réplicables en Europe, ne serait-ce que parce que nous n’avons ni les mêmes marchés intérieurs, ni les mêmes pouvoirs structurels historiquement situés. Je m’arrête là pour laisser la parole.

Mme Francesca Musiani, directrice de recherche au CNRS et cofondatrice et directrice du CIS. J’ai cofondé il y a sept ans le CIS du CNRS, laboratoire interdisciplinaire à dominante sciences humaines et sociales. Vous avez déjà auditionné Mme Mélanie Dulong de Rosnay, cofondatrice de ce laboratoire avec moi. Je dirige actuellement ce laboratoire. Mes recherches portent en particulier sur les infrastructures numériques comme instruments de pouvoir. Je copilote actuellement deux projets sur la souveraineté numérique qui visent à décortiquer ce que différents acteurs, dans divers contextes nationaux et supranationaux, entendent par « souveraineté numérique » : quelles visions, quels discours, quels choix de conception et quelles technologies se cachent derrière ce mot-valise.

Si on observe les infrastructures numériques avec un prisme de sociologie des techniques, des sciences et de l’innovation, on constate qu’elles constituent aujourd’hui l’ossature, très souvent invisible pour les citoyens, de notre économie et de notre vie démocratique. Il s’agit à la fois d’infrastructures très physiques (centres de données, câbles sous-marins) et d’infrastructures relevant des services ou des protocoles. Ces éléments forment un ensemble interdépendant dont la robustesse conditionne le fonctionnement de secteurs aussi divers que l’énergie, la santé, la finance ou la défense.

Comme cette commission se propose de l’investiguer, il existe plusieurs dépendances structurelles à ces infrastructures. Premièrement, des dépendances technologiques : une part significative de ces équipements critiques (matériel, réseaux, semi-conducteurs, solutions logicielles) est conçue et produite hors d’Europe, ce qui limite notre capacité à maîtriser l’ensemble de la chaîne de valeur.

Deuxièmement, une dépendance, particulièrement européenne, aux grands fournisseurs de services numériques, notamment dans le domaine du cloud, où les acteurs non européens concentrent aujourd’hui la majorité des capacités de stockage et de calcul. Cette concentration pose des enjeux économiques, stratégiques et, bien sûr, juridiques, avec la question centrale de l’extraterritorialité du droit.

Troisièmement, une vulnérabilité physique et géographique. Les câbles sous-marins, les points d’échange internet (Internet Exchange Points), qui sont une part stratégique de l’infrastructure bien que moins visibles, ainsi que certains centres de données, constituent des points névralgiques dont la perturbation, qu’elle soit volontaire ou accidentelle, peut avoir des effets systémiques.

Quatrièmement, une dépendance aux compétences et aux ressources humaines. La capacité à concevoir, sécuriser et opérer ces infrastructures repose sur des expertises spécifiques, parfois rares, dans un contexte de forte concurrence internationale pour les talents.

Trois axes d’action méritent une attention particulière. Tout d’abord, le renforcement de la souveraineté capacitaire européenne suppose d’investir dans des technologies critiques, du cloud aux semi-conducteurs et à la cybersécurité. Il faut également soutenir des alternatives crédibles, interopérables et compétitives à l’échelle de l’Union européenne.

Ensuite, il s’agit de diversifier et de sécuriser les dépendances existantes. L’objectif n’est pas nécessairement l’autarcie, mais la capacité à éviter les situations de dépendance univoque. Cela peut passer par des stratégies multifournisseurs, des exigences accrues de transparence envers les acteurs dominants et des mécanismes de réversibilité effectifs.

Enfin, il faut renforcer la résilience des infrastructures. Cela passe par une meilleure cartographie des risques, des investissements dans la redondance, la protection physique des installations critiques et une coordination renforcée entre acteurs publics et privés aux niveaux national et européen.

Ces approches pragmatiques se heurtent à une tension fondamentale : d’un côté, les dynamiques d’ouverture qui ont fait la force d’internet ; de l’autre, la maîtrise et le contrôle qui conditionnent la capacité d’un acteur à agir de manière autonome dans un environnement stratégique de plus en plus concurrentiel. La question est peut-être moins de savoir s’il faut être dépendant ou non, mais plutôt de déterminer dans quelles conditions il est possible, raisonnable et stratégique d’accepter une part de cette dépendance, et avec quelles garanties de contrôle, de sécurité et de réversibilité, tout en établissant des niveaux de transparence adaptés à chaque acteur.

Mme Cyrielle Chatelain, rapporteure. Vos travaux montrent un investissement massif des géants du numérique dans les câbles. Quels sont leurs objectifs et quel est, selon vous, l’état des lieux de la propriété de ces câbles, entre opérateurs privés et opérateurs publics ? La même question se pose pour les centres de données que vous voyez se construire en France. Nous avons déjà fait face à des bonds technologiques accompagnés par de nouvelles infrastructures, que ce soit dans les télécoms ou les transports. Est-ce la première fois que des acteurs économiques exercent une telle maîtrise sur des infrastructures clés ? En d’autres termes, le niveau de dépendance vis-à-vis d’acteurs économiques est-il particulièrement élevé dans le cadre de ce nouveau bond technologique ?

Par ailleurs, en quoi le fait que des opérateurs privés et monopolistiques détiennent les infrastructures peut-il impacter ou contraindre nos usages ? Vous avez notamment évoqué le protocole Quick UDP Internet Connections (QUIC), qui illustre comment certaines normes peuvent s’imposer à tous.

Mme Ophélie Coelho. Effectivement, la situation des câbles sous-marins a beaucoup évolué. Sans refaire tout l’historique, l’accélération de la présence des géants du numérique dans ce secteur date des années 2010. Plusieurs raisons expliquent ce phénomène : leur consommation croissante de capacité, l’intérêt économique à posséder ces infrastructures, et sans doute une volonté de contrôler l’ensemble de la pile technologique, d’autant qu’ils avaient déjà une expérience des réseaux terrestres aux États-Unis.

Cette tendance s’est accélérée ces dernières années, avec des capacités de câbles qui atteignent désormais des centaines de térabits, une échelle sans commune mesure avec la capacité d’un térabit d’il y a quelques années. La différence majeure réside dans la structure de propriété. Auparavant, nous avions des consortiums d’opérateurs de télécommunications, dont la responsabilité et les choix étaient partagés entre dix à vingt partenaires, avec une hiérarchie entre les plus gros investisseurs et les plus petits. Aujourd’hui, la configuration a changé : nous avons soit des consortiums beaucoup plus restreints, soit des propriétés uniques. Google, par exemple, possède plus de 30 câbles, et bientôt près de 40 avec ses nouveaux projets dans l’Indopacifique. La moitié de ses câbles lui appartiennent en propriété unique, ce qui est inédit dans ce secteur. Meta est un peu en retrait, avec deux ou trois câbles en propriété unique. Le reste de leurs investissements se fait au sein de consortiums, certes plus petits qu’auparavant, mais où les choix restent partagés.

Pour l’anecdote, sur un câble comme 2Africa, qui fait le tour du continent africain, les entreprises américaines n’hésitent pas à s’associer avec des entreprises chinoises. On y retrouve Meta aux côtés de China Telecom, ainsi que d’autres partenaires comme le sud-africain MTN, qui, bien que présents dans le consortium, ont moins de poids dans les décisions.

Au-delà du nombre de câbles, il faut considérer l’évolution de leurs capacités. En 2021, environ 28 % de la capacité mondiale appartenait aux géants du numérique. Aujourd’hui, nous avons dépassé le quart pour approcher le tiers, et je pense que d’ici dix ans, ils pourraient détenir la moitié de la capacité totale en termes de puissance. C’est un changement énorme.

De plus, ils n’utilisent pas ces câbles uniquement pour leurs propres besoins. Contrairement à ce que certains experts du secteur laissent parfois entendre, ces câbles ne servent pas seulement à gérer leur propre activité. Il ne s’agit pas de câbles sous-marins dédiés uniquement à leurs logiciels, à leurs données ou aux données qui transitent via leurs produits. Non, pas du tout. Ils nouent des partenariats avec des opérateurs de télécommunications locaux, auxquels ils sous-louent une partie de la capacité du câble. Ils deviennent ainsi des passerelles techniques importantes, des nœuds de dépendance qui n’influencent pas seulement leur propre activité, mais l’ensemble de l’écosystème, tant au niveau du web que des télécoms. Ces partenariats prennent la forme de droits irrévocables d’usage, des contrats d’une durée en général de 15 à 20 ans, soit presque toute la durée de vie d’un câble, qui est d’environ 25 ans.

Ce mécanisme de dépendance, fondé sur une intégration verticale, influe sur l’ensemble de l’écosystème numérique. Un exemple frappant est la coupure de câbles survenue en Afrique de l’Ouest en 2024. Quatre câbles historiques ont été sectionnés, privant treize pays africains d’internet. Ce sont les câbles Equiano, de Google, et 2Africa, le consortium incluant Meta et China Telecom, qui ont récupéré la majeure partie du trafic. Cet événement montre que c’est souvent dans les moments de crise qu’ils renforcent leur position et deviennent des partenaires indispensables, à l’instar de ce que l’on a pu observer avec Starlink, bien que ce dernier n’opère pas à la même échelle de puissance.

Mme Alexandra Lutz. L’objectif de cette expansion en termes d’infrastructures, notamment pour les centres de données, s’inscrit dans la même logique. Pour un acteur économique, il s’agit bien sûr de gagner des parts de marché et de s’enrichir, mais aussi de capter un maximum de données. Comme vous l’avez vu hier lors de l’audition sur le profilage, l’accès à de vastes quantités de données est ce qui a permis à des entreprises comme Google de créer de la valeur et de nouvelles solutions.

Le danger réside dans le fait que le contrôle de ces infrastructures leur donne accès à toutes ces données et donc une capacité accrue de profilage des personnes. Cela peut entraîner des discriminations et des usages très graves. Aux États-Unis, par exemple, des applications de type Uber pour les infirmières permettent aux hôpitaux de recruter du personnel de manière flexible. Ces applications personnalisent entièrement la rémunération des infirmières indépendantes en fonction de leur situation personnelle. En analysant leur score de crédit, l’application peut identifier les personnes en situation financière précaire et leur proposer des tarifs plus bas, sachant qu’elles seront susceptibles d’accepter n’importe quel prix. C’est une remise en cause grave du droit du travail, fondée sur le profilage.

Un autre exemple concerne l’administration Trump, qui a acheté des données ciblées sur des femmes effectuant des recherches sur des cliniques d’avortement. Dans les États où l’avortement est interdit, ces données sont utilisées pour identifier les personnes ayant potentiellement eu recours à une IVG.

Ces exemples très concrets montrent comment les États peuvent s’intéresser à ces données pour exercer une répression politique. Nous avons également les exemples, dans le champ démocratique, d’acteurs étrangers qui achètent des données pour influencer des élections en ciblant des personnes sur la base de leur profil.

Tout cela démontre l’immense intérêt qu’il y a à contrôler ces données pour pouvoir transformer la réalité. La dépendance actuelle vis-à-vis de ces acteurs est bien plus grande que par le passé. Tous nos secteurs clés et notre économie dépendent des infrastructures numériques. Si ces acteurs prenaient une décision unilatérale, cela ne signifierait pas seulement ne plus avoir accès à son téléphone, mais potentiellement ne plus avoir accès aux services publics, aux services bancaires ou aux données des entreprises.

Mme Lou Welgryn. Pour compléter sur la question du forçage des usages, une étude du collectif Limites numériques a montré que jamais une fonctionnalité n’avait été autant poussée que les IA génératives. Tout un imaginaire est construit autour de cela, avec la couleur violette pour évoquer la magie ou des émoticônes pour faire croire à un processus magique. Les acteurs poussent ces fonctionnalités sans même qu’elles soient demandées. Par exemple, dans de nombreux pays, une recherche de recette sur Google affiche désormais un résumé engendré par Gemini AI que l’utilisateur n’a absolument pas sollicité. Tous ces usages forcés viennent justifier une augmentation de la demande, qui à son tour justifie une augmentation des infrastructures, créant ainsi un cercle vicieux.

Sur le caractère inédit de la situation, il est intéressant de noter que le premier usage de ChatGPT est la conversation, y compris pour des discussions intimes. Jamais dans l’histoire une entreprise privée n’a eu accès à une telle part de la psyché humaine. Cela pose la question de la capacité de manipulation de l’information, en rappelant que ces algorithmes sont politiquement orientés ; il n’existe pas d’algorithme neutre. De plus en plus, ces grandes entreprises américaines poursuivent des objectifs idéologiques. On le voit avec X, où une étude a prouvé que lors des élections municipales françaises, l’algorithme a amplifié la visibilité de certains candidats, comme Sarah Knafo. Une autre étude, publiée récemment dans Nature, a montré que les plateformes X et TikTok poussent les utilisateurs vers des contenus conservateurs. Des biais existent, ils sont intrinsèques à ces algorithmes et portent des idéologies à une échelle inédite.

Mme Francesca Musiani. Internet repose sur une architecture en couches que l’on peut résumer en quatre niveaux. La première couche est physique : les câbles sous-marins et terrestres, ainsi que les centres de données, où s’effectue le transport concret des données. La deuxième couche est celle des protocoles de base, ces langages qui permettent aux machines de communiquer entre elles. L’Internet Protocol (IP) est le protocole commun par excellence. Le système de noms de domaine (DNS), qui est l’annuaire d’internet, constitue un autre élément critique de cette couche, en assurant une correspondance fiable entre les adresses URL que nous utilisons et les adresses numériques des ressources. La troisième couche est celle des services d’infrastructure, notamment le cloud, qui fournit stockage et puissance de calcul à la demande. Enfin, la quatrième couche est celle des applications et des plateformes – messageries, réseaux sociaux, moteurs de recherche – où se concentrent traditionnellement les débats sur la régulation du numérique.

Chacune de ces couches est gouvernée par des acteurs différents, avec de fortes interdépendances qui ne sont pas toujours transparentes pour le citoyen, ni même pour les régulateurs. Là où la situation est inédite, c’est que nous observons une concentration significative du pouvoir à chacun de ces niveaux. Pour la couche physique, comme nous l’avons dit, les câbles, historiquement opérés par des consortiums d’opérateurs télécoms, le sont de plus en plus par de grandes entreprises privées comme Google et Meta, qui sont les seules à avoir la force de frappe pour investir dans ces infrastructures devenues trop stratégiques pour elles.

Sur la couche des protocoles, la gouvernance est traditionnellement plus distribuée, avec des organisations comme l’Internet Corporation for Assigned Names and Numbers (ICANN) pour les noms de domaine ou l’Internet Engineering Task Force (IETF) qui élabore les standards techniques. Toutefois, des études montrent que même dans ces espaces, certains acteurs disposent de fait d’une capacité d’influence supérieure, liée à leurs importantes ressources techniques, humaines et économiques.

Sur la couche des services, on retrouve une très forte concentration autour de quelques grands acteurs : Amazon Web Services, Microsoft Azure et Google Cloud. Sur la couche applicative, nous connaissons bien les grandes plateformes qui structurent l’accès à l’information.

On en vient ainsi aux usages contraints et aux différentes formes de pouvoir qui en découlent. Il y a d’abord un pouvoir de contrôle de l’accès. La gestion du DNS permet, en pratique, de rendre un service accessible ou non. De même, les fournisseurs d’infrastructures peuvent suspendre un service, avec des effets immédiats et globaux.

Il y a ensuite un pouvoir de modération et de hiérarchisation des contenus, parfois de leur « dévisibilisation », particulièrement visible au niveau des plateformes. Les règles de modération et les algorithmes de recommandation déterminent en grande partie ce qui est visible ou invisible dans l’espace public numérique.

Il existe également un pouvoir de définition des standards. Les acteurs qui participent à l’élaboration des protocoles au sein de l’IETF ou d’autres organisations, ou qui imposent des standards de fait, comme Google avec le protocole QUIC, contribuent à définir les règles du jeu, des formats de données aux niveaux de sécurité.

Enfin, il y a un pouvoir sur la confidentialité et les données. Les choix d’architecture (centralisation, décentralisation, fédération, chiffrement, localisation des données) déterminent concrètement le niveau de protection de la vie privée. Ces choix, souvent inscrits dans la technique elle-même, sont difficiles à contester une fois mis en place.

Comprendre qui contrôle les différentes strates d’internet et comment, c’est comprendre où s’exerce le pouvoir aujourd’hui. Ce qui est inscrit dans les architectures et les infrastructures peut effectivement contraindre les usages, mais peut aussi, pour ne pas être trop pessimiste, offrir une base de possibilités. L’inscription dans la technique peut aussi servir à libérer et à protéger, pas seulement à imposer un contrôle.

M. Nicolas Bonnet (EcoS). Vous décrivez bien comment, à force de développer de nouveaux systèmes fondés sur l’informatique, nous nous sommes simplifiés la vie, mais nous nous sommes aussi mis dans une situation de dépendance. Il s’agit de trouver un équilibre entre la performance, sur laquelle nous avons beaucoup misé jusqu’à présent, et les dépendances que nous avons créées.

Peut-on aujourd’hui faire de l’intelligence artificielle sans les puces de Nvidia ? J’ai l’impression que non. Ne sommes-nous pas, chaque fois que nous faisons de l’IA, entre les mains d’une seule et même entreprise d’un point de vue matériel ? Par conséquent, ne faudrait-il pas exiger que tous les logiciels intégrant des fonctionnalités d’IA puissent continuer à fonctionner de manière normale si l’IA est désactivée ? L’IA serait une option, mais le logiciel resterait fonctionnel même si l’accès aux ressources nécessaires à son fonctionnement venait à manquer.

Concernant les centres de données, vous avez évoqué le fait que leur multiplication en France n’apportait pas forcément grand-chose au pays. Pourriez-vous développer ce point ? Lorsqu’un centre de données est géré par l’un des trois grands acteurs que vous avez cités, qu’il soit en France ou ailleurs, on ne voit pas bien ce que cela change, si ce n’est peut-être une plus grande rapidité d’accès. Cela ne nous garantit pas que nos données y seront stockées, ni que nous pourrons aller les récupérer sur un disque dur. Pour les centres de données qui n’appartiennent pas à Google, Amazon ou Microsoft, que peut-on espérer y trouver majoritairement ? S’agira-t-il vraiment de services qui améliorent notre quotidien, comme des IA pour les soins de santé, ou se retrouvera-t-on avec des contenus plutôt ludiques ? En somme, que peut nous apporter le fait d’avoir de nombreux centres de données en France ?

Mme Ophélie Coelho. Concernant les puces, d’autres entreprises, notamment Google, avancent dans la conception de puces sans posséder d’usines. Il est toujours possible de rattraper un retard ; c’est une question de choix politiques et industriels forts, de moyens et de temps, plus que de capacité d’ingénierie. Il y a quelques années, on considérait que la Chine ne pourrait pas rattraper son retard technologique ; aujourd’hui, elle a bien avancé sur les puces. L’idée qu’une entreprise en situation de monopole est irrattrapable en termes d’ingénierie est donc discutable. En termes de capitalisation, c’est une autre histoire. Nous avons affaire aux plus hautes capitalisations boursières, et les règles des grands fonds indiciels cotés en bourse réorientent systématiquement l’argent vers elles. Nous n’allons pas créer un géant européen du numérique demain, et ce n’est d’ailleurs pas souhaitable. En revanche, en Europe, nous avons toutes les compétences en ingénierie pour le faire. C’est un choix politique de réorienter les achats vers des acteurs européens et de les accompagner pour répondre aux besoins, par exemple avec des modèles d’IA générative européens.

Concernant les centres de données, ce qui motive aujourd’hui l’implantation de grands campus en Europe est effectivement le déploiement de l’IA générative. Mais ce ne sont pas les outils européens qui en bénéficieront en premier lieu. Les acteurs dominants du marché avancent très vite sur ce segment pour prendre de court les acteurs européens. Ils proposent des formations à toutes les grandes entreprises pour les faire passer de leur cloud aux composants d’IA générative intégrés. Pendant ce temps, nous acceptons l’implantation de centres de données calibrés en majorité pour leurs technologies. Je ne dis pas qu’il n’y aura pas un usage dédié aux entreprises européennes (Mistral AI, par exemple, a l’intelligence de créer ses propres infrastructures), mais le déséquilibre est tel que les effets d’entraînement ne favorisent pas une récupération des usages et des clients par les technologies européennes.

Il faut aussi se poser la question des usages. Avons-nous vraiment besoin d’IA générative pour tout ? La réponse est clairement non, surtout quand on dépend à ce point d’entreprises privées soumises à des droits extraterritoriaux.

Sur la question de la valeur, ces centres de données en rapportent-ils ? Oui, ils créent de la valeur, mais pour qui ? Assez peu pour les pays européens qui les accueillent, car les grandes multinationales font tout pour ne pas payer d’impôts, un problème que nous n’avons pas réglé. En termes de valeur nette, nous sommes plutôt clients : nous leur donnons de l’argent tout en acceptant que leurs infrastructures puisent dans les ressources de nos territoires, que ce soit l’énergie ou l’eau. Même les gens du secteur admettent que les besoins en ressources vont augmenter, sans pouvoir dire de combien. C’est pour cela que les débats sont si vifs : nous n’avons pas les données. Nous ne savons pas comment les usages de ces infrastructures vont évoluer. Le retard est tel que Bruxelles a dû demander l’année dernière une remontée de données au niveau européen. Pourtant, les investissements sont déjà sur la table et les implantations en cours, sans aucun débat public digne de ce nom. La valeur ne va pas dans les poches de l’Europe, mais dans celles des grandes entreprises technologiques et de leurs investisseurs, qu’il s’agisse de BlackRock, Vanguard, Andreessen Horowitz, ou d’investisseurs émiratis ou chinois.

Enfin, sur la question des dépendances, il faut se demander comment en sortir. J’ai tendance à dire qu’il faut instrumentaliser l’interdépendance, comme le font les empires étatiques et technologiques. Ils utilisent nos dépendances comme des leviers de puissance. Nous pouvons faire de même, à la fois pour nous défendre et pour adopter une posture plus offensive. Cela commence par une mesure de nos dépendances. On en parle depuis des années et des projets commencent enfin à émerger, comme l’indice de résilience numérique (IRN) ou un observatoire au niveau de l’État pour l’administration.

Le problème est que si l’IRN ne sert pas à définir une feuille de route au niveau de l’État, il sera totalement inutile. Il se réduira à une société de conseil parmi d’autres, offrant des prestations aux entreprises ou formant d’autres cabinets de conseil. Aucune information ne remontera pour permettre l’élaboration d’une véritable feuille de route étatique. Il faut donc accompagner l’IRN, mais il est surtout impératif de l’intégrer à un observatoire public. Il faut prévoir dès le départ, dans les contrats qui utiliseront la méthodologie IRN, qu’une partie des données devra être transmise à l’État. J’estime que cette obligation est indispensable si nous voulons utiliser cet indice comme un outil de politique industrielle. Pour l’instant, cette condition n’est pas posée. J’en ai discuté avec les fondateurs de l’initiative et la question reste ouverte, mais il appartient à l’État de prendre cette décision et d’orienter le dispositif dans cette direction.

En ce qui concerne la dimension défensive, une fois que la mesure des dépendances nous aura permis de définir les points sur lesquels agir, nous pourrons déterminer les aspects à protéger en priorité. L’approche sectorielle constituera, dans tous les cas, la première étape. En effet, il n’est ni possible, ni cohérent, ni réaliste de vouloir entraîner l’ensemble du tissu économique dans une transition technologique. Il faut donc cibler les secteurs clés de la société : l’éducation, l’énergie, la mobilité, la sécurité, l’administration. La tâche est déjà considérable. On peut ensuite étendre le périmètre à d’autres domaines, comme la santé, où notre indépendance numérique est d’ailleurs particulièrement faible.

Mme Lou Welgryn. Il est important de rappeler les impacts locaux que les centres de données peuvent avoir et de déconstruire les mythes qui les entourent. On parle beaucoup du nombre d’emplois créés, mais en réalité, bien que les données soient très difficiles à obtenir, il s’agit de très peu d’emplois locaux. Sur la question de la fiscalité, les bénéfices réels pour les collectivités locales restent à démontrer.

Il faut également considérer les conflits d’usage locaux, car les infrastructures de centres de données sont très concentrées géographiquement et peuvent progressivement engendrer des tensions. Ce phénomène a déjà été observé à Marseille par le collectif « Le nuage était sous nos pieds », qui a montré que la demande en électricité des centres de données du port entrait en concurrence avec l’électrification des ferries. Ces derniers, faute d’être électrifiés, génèrent une pollution locale considérable. Un surplus sur le réseau électrique national n’exclut pas des conflits locaux sur l’accès à l’électricité, qui impliquent également une mise à niveau du réseau et de nombreuses transformations. Tous ces impacts locaux doivent être pris en compte.

Je voudrais aussi revenir sur le terme d’« amélioration du quotidien ». Sans nier que l’intelligence artificielle puisse avoir des impacts positifs dans certains domaines précis, il faut clarifier qu’il n’est pas du tout acquis qu’elle améliore globalement notre quotidien. Si je prends l’exemple du travail, ce que nous observons aujourd’hui est plutôt une intensification pour certaines personnes, avec une concentration accrue des tâches et davantage de sollicitations, ainsi qu’une précarisation pour de nombreuses autres. Les plus jeunes rencontrent des difficultés d’emploi, et certains métiers, comme la traduction, sont massivement précarisés. Tous ces éléments doivent être considérés lorsqu’on évalue les impacts généraux de ces infrastructures et de leur hégémonie dans la société.

Il existe aussi des dépendances cognitives et affectives créées par des outils dont le modèle économique repose sur l’économie de l’attention et vise à créer une forme d’addiction pour générer de l’usage. Il est essentiel de le rappeler. Sur la question de l’intérêt de ces technologies, nous sommes convaincus qu’il y a un enjeu majeur à introduire plus de démocratie dans ces choix. Vous parliez de différencier les usages récréatifs des usages utiles. Aujourd’hui, ces infrastructures et ces usages nous sont imposés. Nous avons besoin d’un débat national pour déterminer ce que nous voulons en faire et quel rôle nous souhaitons qu’elles jouent dans la société. Or nous prenons actuellement la trajectoire inverse, en supprimant toutes les réglementations qui favorisaient un débat, tant local que national. Nous souhaiterions que ce débat soit beaucoup plus vigoureux, afin que les citoyens puissent participer à des décisions qui impactent fondamentalement leur vie.

Mme Alexandra Lutz. Pour compléter, la question que vous posez est celle du modèle que nous souhaitons promouvoir. L’objectif n’est pas simplement de remplacer les hyperscalers américains par des hyperscalers européens ; ce n’est pas du tout le modèle que nous recommandons. Il s’agit plutôt de déterminer comment les investissements, notamment publics, peuvent renforcer un modèle bénéfique pour le plus grand nombre. Nous croyons beaucoup aux communs numériques, les digital commons, et à la nécessité d’insister sur l’interopérabilité, les standards et les architectures ouvertes sur lesquelles un maximum d’acteurs peuvent s’appuyer. Si davantage de petits acteurs européens très compétents pouvaient se connecter et proposer leurs services, cela permettrait de mieux répartir le pouvoir et la capacité de contrôle. Il faut rappeler qu’au niveau européen, 99 % des entreprises sont des PME. C’est ce tissu qu’il faut soutenir, plutôt que de tout miser sur quelques géants.

Ensuite, pour évoquer les leviers d’action, je suis convaincue que la réglementation oriente le modèle que nous choisissons ; elle n’est pas une simple contrainte à simplifier ou un problème. L’Europe a été, jusque très récemment, très fière de son pouvoir réglementaire, notamment du Brussels effect, sa capacité à réguler la big tech. Nous avons été fiers du règlement sur les services numériques (DSA) et du règlement sur les marchés numériques (DMA). La question est donc de savoir comment préserver et renforcer ces acquis. Plusieurs textes sont en discussion au niveau européen. On peut notamment s’interroger sur la manière de réformer les marchés publics pour que le prix ne soit plus le seul critère de choix, mais pour y intégrer également un critère de souveraineté afin de renforcer nos capacités et de socialiser davantage les bénéfices. Plutôt que d’investir dans des infrastructures dont la valeur est ensuite captée par des acteurs privés qui concentrent nos données et en contrôlent l’usage, nous pourrions orienter ces investissements pour qu’ils deviennent des biens communs accessibles à tous.

La question de renforcer le critère de souveraineté est centrale. Nous avons l’exemple du Buy American Act et nous pourrions nous en inspirer au niveau européen. Un premier texte, le règlement d’accélération industrielle, commence à aborder la définition d’un critère de souveraineté, même si sa portée, qui inclut pour l’instant tous les pays européens et ceux avec qui nous avons des accords commerciaux, est peut-être un peu large. Quoi qu’il en soit, l’enjeu est de socialiser les bénéfices de ces investissements. Surtout, je pense qu’il faut renforcer des textes comme le RGPD, en insistant sur la minimisation des données, la portabilité et le consentement. La définition de la donnée personnelle est actuellement discutée au niveau du Conseil et du Parlement européen, et nous espérons vivement qu’elle restera solide. Si cette définition était revue pour considérer la donnée personnelle comme une « vue subjective de l’esprit », sa protection deviendrait très compliquée. Enfin, un texte très prometteur pourrait voir le jour, le Digital Fairness Act, qui permettrait de réfléchir à un internet plus juste et équitable. Dans ce cadre, nous pourrions envisager de nombreuses mesures, comme la lutte contre les dark patterns, mais aussi le renforcement de l’interopérabilité et la mise à disposition de plus d’outils pour les consommateurs et les citoyens, afin qu’ils ne soient pas complètement contrôlés par les infrastructures numériques.

Mme Francesca Musiani. Pourquoi avons-nous adopté si massivement des solutions extra-européennes ? Elles se sont imposées parce qu’elles étaient jugées plus performantes, plus intégrées et plus compétitives par les acteurs qui devaient les adopter. Cela s’est produit à une époque où les équilibres géopolitiques étaient très différents d’aujourd’hui ; notre relation avec les États-Unis, que ce soit au niveau des pouvoirs publics ou des entreprises, n’était pas celle que nous connaissons aujourd’hui. La dépendance actuelle résulte en grande partie de choix qui semblaient rationnels à court terme, dans un contexte temporel et géopolitique spécifique.

Aujourd’hui, cela se traduit par des effets de verrouillage très puissants. Une partie du problème réside dans le coût de sortie de ces solutions. Opérer un rattrapage et faire autrement est un choix politique, et tout est possible. Cependant, l’un des obstacles majeurs à une stratégie de sortie est précisément ce coût. Il existe des dépendances techniques, organisationnelles et contractuelles qui enferment durablement les acteurs.

Ce qui se passe actuellement dans le secteur de l’enseignement supérieur et de la recherche est assez éloquent à cet égard. Il est difficile de sortir de Zoom ou de Teams, qui sont devenus les plateformes principales mises en place après la pandémie pour assurer la continuité de notre vie professionnelle. Certains acteurs, comme le CNRS, peuvent s’en sortir à relativement court terme ; son contrat avec Zoom se terminait fin mars et il passe désormais à des solutions et d’autres outils d’une suite numérique souveraine. En revanche, d’autres secteurs sont bloqués pour plus longtemps. Je discutais récemment avec des agents du ministère de la culture qui m’expliquaient qu’ils seraient liés à des outils Microsoft pendant encore quatre ans, si mes souvenirs sont bons, car le contrat venait d’être signé. Il faudra attendre l’échéance de ce contrat pour pouvoir envisager une sortie. C’est un aspect qu’il me semble important de souligner.

Mme Cyrielle Chatelain, rapporteure. J’aimerais approfondir les pistes que vous avez esquissées. Nous voyons bien le double monopole et ses effets, mais quelles sont les pistes de sortie, même à moyen terme ? Je suis consciente qu’à ce stade, les données sur le niveau de dépendance sont potentiellement partielles.

Vous avez évoqué la nécessité de se concentrer sur certains domaines. À l’inverse, lorsque vous parlez de renforcer la souveraineté capacitaire en décrivant les différentes couches technologiques, y a-t-il des couches sur lesquelles il serait plus intéressant que d’autres de développer nos capacités ? Par exemple, vous avez mentionné la difficulté de passer du câble au satellite. Faut-il en déduire qu’il serait plus pertinent de se concentrer sur le logiciel ? Si nous devions élaborer une stratégie industrielle planifiée, sur quelles couches technologiques serait‑il le plus intéressant de commencer ?

De la même manière, vous avez souligné l’intérêt d’exiger plus de transparence. L’open source vous semble-t-il un outil intéressant à cet égard ? Y aurait-il un intérêt à demander davantage de transparence aux géants de la tech ?

Enfin, vous avez parlé des communs numériques. Une fois ces capacités développées, quelle gouvernance mettre en place pour ne pas retomber dans le piège que vous décrivez, à savoir la création d’un nouveau géant du numérique européen qui ne ferait que déplacer le monopole ?

Mme Francesca Musiani. Je pense que le secteur du cloud est un exemple particulièrement intéressant, car c’est l’un des domaines où la dépendance est la plus fortement ancrée, comme nous l’avons constaté à plusieurs reprises aujourd’hui. Il est très pertinent de continuer à se poser la question de savoir comment établir des clouds de confiance et sous quelles conditions. Ces questions sont d’ailleurs au cœur d’un groupe de travail sur la sécurité du cloud à l’Académie des technologies.

Nous avons là un exemple concret avec des référentiels comme SecNumCloud, proposé par l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui définit un cadre exigeant visant à garantir un niveau de sécurité élevé en matière de gouvernance, d’exploitation et de protection des données. On reconnaît par ailleurs la nécessité, pour le moment, d’ouvrir ce référentiel à des solutions de cloud hybride. Ces solutions reposent sur des technologies non européennes mais sont opérées par des acteurs européens. On tente ainsi d’aller dans la direction d’une augmentation de nos capacités, en conciliant plusieurs objectifs : la sécurité, la compétitivité et l’accès aux meilleures technologies disponibles. Nous reconnaissons en quelque sorte une réalité industrielle tout en essayant de l’encadrer de manière maîtrisée.

Cependant, il faudra continuer à travailler sur plusieurs compromis importants. Le premier est la distinction entre le contrôle de l’exploitation et la maîtrise de la technologie. Pour le cloud, c’est emblématique, mais cela s’applique à d’autres domaines. Le modèle du cloud hybride repose sur l’idée qu’on peut sécuriser l’usage d’une technologie en encadrant strictement son exploitation, par exemple via la localisation des données ou une gouvernance européenne du contrôle d’accès. Toutefois, on voit les limites de ce modèle lorsque la technologie reste contrôlée par un acteur soumis à un droit étranger. Dans le cas du cloud, le Cloud Act américain peut toujours s’appliquer, ce qui crée des zones d’incertitude juridique difficiles à lever complètement. Le contrôle de l’exploitation ne garantit pas nécessairement une pleine autonomie stratégique si la dépendance technologique demeure.

Le deuxième point est notre capacité non seulement à maîtriser ces technologies, mais aussi à les auditer. Cela nous ramène à la question de la transparence, et de la transparence pour qui. Il s’agit d’environnements complexes reposant sur des logiciels propriétaires. Il est difficile d’avoir une visibilité complète sur les mécanismes internes, la gestion des accès ou les mises à jour. Cela pose des questions de vérifiabilité.

Une troisième question concerne les effets à long terme de nos choix normatifs. En validant la possibilité de ces modèles hybrides, le référentiel SecNumCloud permet de répondre à des besoins immédiats, ce qui relève du choix rationnel. Cependant, on risque aussi de renforcer indirectement la dépendance aux technologies extra-européennes en rendant leur intégration dans des environnements sensibles plus acceptable et durable. Ne sommes-nous pas en train de nous couper l’herbe sous le pied à d’autres égards ?

Mme Ophélie Coelho. Sur la question du ciblage, même sans disposer de toutes les données, certaines dépendances sont déjà visibles et nous pouvons commencer à travailler dessus. La réponse ne sera ni instantanée ni globale ; elle peut se faire de manière fine et progressive.

Le cloud est une dépendance majeure, car il constitue une passerelle à la fois pour les usages finaux, professionnels, et pour les produits techniques. C’est une infrastructure que les développeurs utilisent pour concevoir les produits numériques que nous utilisons ensuite, une partie que le grand public ne voit pas. Il faut donc traiter la complexité du cloud avec finesse. Mesurer la dépendance au cloud revient en réalité à faire un audit technique. Le cloud est une bibliothèque de services géante, et nous ne sommes pas dépendants de la même manière à chaque composant logiciel. Certaines briques logicielles, dont la dépendance n’est pas stratégique, peuvent gérer simplement l’affichage d’images. D’autres, qui effectuent du traitement d’information et donc du calcul, sont bien plus critiques. D’autres encore, qui permettent de diffuser ou d’afficher l’application, sont également des composants majeurs.

Il faut donc analyser le cloud dans le détail, en considérant que la dépendance à une brique n’est pas équivalente à une autre. À partir de là, on peut orienter les industriels et le tissu économique par des directives. Pour telle application ou tel développement, nous pouvons demander l’utilisation d’un fournisseur européen pour une brique spécifique jugée stratégique. Cela évite l’écueil de chercher un cloud européen qui serait un clone offrant exactement les mêmes services. On peut ainsi imposer des obligations stratégiques, ciblées et raisonnables, en justifiant qu’une brique logicielle donnée constitue un danger pour une raison précise. Cette approche peut être appliquée selon une logique sectorielle. Un observatoire permettrait de voir que, selon les secteurs, les entreprises sont plus ou moins dépendantes de telle ou telle brique et d’agir en conséquence.

Concernant le câble et le satellite, la logique est plutôt celle de l’extension. Pour les grands ensembles technologiques, acquérir ces infrastructures relève d’un esprit de conquête. C’est ce que l’Europe fait avec IRIS², par exemple, pour le volet satellitaire. L’objectif est de ne pas être dépendant de Starlink, de la constellation d’AWS ou des Chinois lorsque nous aurons besoin d’une constellation de satellites. Si nous nous en tenons à cet objectif, c’est la bonne manière de procéder. Notre but n’est pas forcément de faire la même chose qu’eux.

D’ailleurs, le satellite ne remplace absolument pas le câble ou les infrastructures terrestres. Il constitue ce que j’appelle le « dernier kilomètre » du chemin de transmission numérique. Il ne fait que diffuser l’information à l’utilisateur final après que celle-ci a cheminé et été traitée via des câbles, des centres de données et des réseaux terrestres. Il faut donc distinguer les projets qui s’inscrivent dans une logique économique globale de vente de services, et ceux qui, comme je le pense, doivent viser à protéger notre société. C’est sur ce second point que nous devons nous concentrer aujourd’hui.

Concernant l’open source, faudrait-il demander aux entreprises d’ouvrir leur code ? Oui, ce serait souhaitable, mais il y a une différence entre le vœu pieux et la réalité. La protection de la propriété industrielle et intellectuelle fait que nous n’y parviendrons pas. C’est d’ailleurs pour cette raison que le droit du numérique est assez peu efficace sur ces aspects. Quand on vend un jouet en Europe, on exige qu’il respecte la norme CE, ce qui implique de remplir un cahier des charges. Si ce jouet se casse et semble dangereux, on peut l’envoyer à un cabinet d’expertise pour vérification. C’est impossible avec un produit numérique, notamment parce que ce n’est pas un objet physique. C’est la différence fondamentale qui fait que le droit du numérique se heurte systématiquement à un conflit de droits avec la propriété industrielle et intellectuelle. Je suis très étonnée que l’on n’en parle pas davantage.

Finalement, nous ne sommes pas capables de vérifier dans le code si un produit respecte toutes les normes ; nous ne voyons que l’interface. C’est sans doute ce qui explique que, pour le RGPD par exemple, les régulateurs se sont résignés à demander à l’utilisateur de valider lui-même les conditions en cochant une case, faute de pouvoir vérifier ce qu’il y a derrière. C’est une forme de déresponsabilisation réglementaire qui individualise le droit : c’est à l’utilisateur de gérer sa propre sécurité.

Pour en revenir à l’open source, il faut le considérer comme une manière de concevoir un produit collectivement, ce qui serait une méthodologie très intéressante pour l’Europe. Plutôt qu’un scénario de big tech européenne, nous disposons sur notre territoire d’une richesse d’ingénieurs talentueux dans une grande diversité d’entreprises. Ce qui nous manque, c’est une cohérence de produit. On pourrait commencer par des choses simples, comme une possibilité de connexion transversale aux applications européennes, sans passer par une identité numérique gérée par l’Union européenne ou les États, ce qui poserait des questions de surveillance. Il existe des solutions techniques, comme des identités anonymisées. Des projets existent au niveau européen ; il faut les suivre et les tester, d’abord via des partenariats entre les pays volontaires. L’objectif serait qu’un Européen puisse s’interconnecter à des services européens sans effort. Le succès des grandes plateformes repose en grande partie sur la facilité de passer d’un service à un autre via un compte unique, comme Gmail ou Microsoft. Créer une telle brique de connexion serait une piste intéressante, non seulement pour mobiliser l’open source, mais aussi pour amorcer une vision de produit cohérente. Des projets sont en cours, mais il n’y a pas encore de cohérence du point de vue de l’usage.

Mme Alexandra Lutz. La question qui se pose aujourd’hui est de savoir pourquoi nous sommes dans cette logique de déploiement généralisé de centres de données en France et en Europe. Cela vient à l’origine du rapport Draghi sur la compétitivité européenne, qui a constaté qu’il y avait beaucoup de centres de données et d’innovation aux États-Unis, et moins en Europe. La conclusion a été que nous manquions de capacités de stockage et de calcul. Aujourd’hui, on a l’impression que l’on construit d’abord et que l’on réfléchit après, sans se baser sur les besoins réels. Personne, ni le rapport Draghi ni l’Union européenne, n’a chiffré le manque de capacités. Le constat est simplement qu’il en faut plus.

Il est donc essentiel de revenir à une évaluation chiffrée de nos besoins et des projets concrets avant de décider qu’il nous faut des infrastructures partout. Ensuite, il faut investir dans des projets qui nous apportent de la résilience. J’ai déjà évoqué l’idée d’une architecture plus fédérée et décentralisée, en insistant sur les standards. Le pouvoir réglementaire peut créer les conditions pour que d’autres acteurs puissent bâtir leur propre cohérence et leurs propres infrastructures. Cela n’a pas un coût immense et mériterait d’être exploré.

Il y a aussi un point à faire sur la manière d’investir dans des infrastructures qui ne demandent pas forcément de grandes ressources. Nous avons le défaut de vouloir systématiquement nous tourner vers la dernière technologie à la mode, la dernière application d’IA. Or, des standards comme le référentiel général d’écoconception de services numériques (RGESN) nous invitent à nous interroger sur la nécessité de l’IA : est-elle vraiment supérieure à ce que nous savons faire par ailleurs ? Il faut sortir de la logique du « high-tech d’abord » et se demander si d’autres solutions ne seraient pas plus adaptées.

Je dis cela car nous arrivons à la fin des réseaux 2G et 3G. On pourrait penser que cela n’a pas d’importance, mais ces réseaux fonctionnent très bien en conditions dégradées et ont une grande portée, ce qui est crucial en cas de catastrophe naturelle ou de guerre. Ils permettaient d’atteindre plus de monde. Demain, nous n’aurons plus cela. La 4G ne disparaîtra pas tout de suite, mais ensuite viendra la 5G, qui ne couvre pas tout le territoire. On est en train de démanteler des infrastructures, comme la FM pour la radio, qui permettent d’atteindre tout le territoire à moindre coût et nous offrent une grande résilience. Elles ne sont peut-être pas « sexy », mais elles sont extrêmement utiles et efficaces.

Enfin, concernant la transparence, il y a deux choses à prendre en compte : les impacts environnementaux, bien sûr, mais aussi le taux d’utilisation effectif des infrastructures. Si nous ne savons pas comment elles sont utilisées et à quel point elles sont saturées, il est compliqué de savoir si nous en avons besoin de plus.

Mme Lou Welgryn. Pour compléter rapidement sur la question de la transparence, avoir accès aux informations nous semble être le b.a.-ba de ce que nous pourrions exiger d’entreprises qui ont un impact gigantesque sur nos sociétés. Aujourd’hui, ne serait-ce que les données sur la consommation et l’impact environnemental des centres de données sont très difficiles à obtenir. Lorsqu’elles le sont, c’est de manière très agrégée, ce qui ne permet pas de savoir réellement ce qui se passe. Il en va de même pour les algorithmes, qui ont un impact prépondérant sur notre manière de nous informer, de faire société et de travailler, et sur lesquels nous avons très peu d’informations.

Nous avons besoin de créer des standards communs. Pour revenir au cas environnemental, quelques entreprises ont commencé à fournir des informations, mais ce sont elles qui décident des données qu’elles dévoilent, ce qui oriente la perception de leurs impacts et rend les comparaisons impossibles. Nous avons donc besoin d’un standard qui ne soit pas édicté par les industriels, ainsi que d’audits indépendants de ces impacts.

Sur la manière de ne pas créer de nouveaux monopoles, les standards ouverts, les protocoles ouverts, l’interopérabilité et la portabilité des données sont des objectifs clés. La capacité de partir rapidement avec ses données permet de contourner les monopoles par le bas. C’est une stratégie beaucoup plus résiliente. On peut prendre l’exemple du ministère de l’Éducation nationale, qui a fait le choix de transitionner vers des outils open source pour les outils logiciels généraux de ses quelque deux millions d’agents. Non seulement cette approche est plus résiliente et moins chère, car elle évite la dépendance liée au renouvellement des appels d’offres publics, mais elle permet aussi de réorienter l’argent public. Au lieu de financer des entreprises privées, on contribue à la construction d’un internet plus résilient et à son amélioration globale. On change complètement de logique : on ne donne plus d’argent à des entreprises privées, on construit un commun collectif qui peut servir à tous et que les agents de l’État, notamment, vont améliorer en continu. C’est ce genre de logique qu’il faudrait, selon nous, développer.

Mme Francesca Musiani. Les différentes expérimentations menées actuellement par des institutions, tant au niveau européen que dans les États membres, sont utiles au-delà de la question de leur passage à l’échelle. Elles aident à changer les paradigmes et les mentalités. L’Europe a longtemps mis l’accent sur les champions nationaux, une idée qui ne date pas des discours récents sur la souveraineté numérique. On a longtemps essayé d’avoir notre propre moteur de recherche, par exemple.

Les architectures fédérées vont plutôt dans le sens d’une reconfiguration de l’architecture même des infrastructures numériques, en privilégiant des principes comme l’interopérabilité, une plus grande décentralisation et des standards ouverts, sur lesquels une multitude d’acteurs peuvent se greffer. Avec les architectures fédérées, chacun peut contribuer selon ses capacités et ses disponibilités, ce qui offre plus d’états intermédiaires possibles qu’une décentralisation plus radicale où toute la responsabilité retomberait sur celui qui fait ce choix.

Mme Cyrielle Chatelain. Des initiatives comme Eurostack et les European Digital Infrastructure Consortiums (Edic) répondent-elles, selon vous, à la stratégie industrielle que vous avez évoquée ? Si oui, comment peuvent-elles être améliorées ? Si non, pourquoi ?

M. Nicolas Bonnet (EcoS). Comment pourrions-nous davantage favoriser le recours à la communauté des logiciels libres par les administrations, les entreprises et les particuliers, lorsque des solutions existent ou pour contribuer à leur amélioration ? Aujourd’hui, il y a un côté rassurant à se tourner vers les solutions propriétaires : elles offrent des garanties, elles sont déjà déployées partout et bénéficient de moyens importants.

Par ailleurs, nos échanges font ressortir la nécessité de questionner notre recours croissant au numérique. Au-delà de la satisfaction des besoins actuels, ne reposons-nous pas trop sur le numérique, pour tout et tout le temps ? J’emploierai un grand mot, mais comment pourrions-nous envisager une forme de décroissance numérique ? Non pas pour atteindre le « numérique zéro », mais pour retrouver un équilibre entre les services rendus et la minimisation de son impact global. Cela implique un changement de culture majeur, car la tendance actuelle est de se jeter sur chaque nouvelle technologie, comme le dernier iPhone, en pensant qu’elle va révolutionner notre vie, ou de discuter avec une IA générative. Il y a donc un grand défi d’évolution des mentalités. Si vous avez des idées à proposer, je suis preneur.

Mme Ophélie Coelho. Eurostack mène un travail intéressant en faisant collaborer des acteurs qui, au départ, travaillaient chacun de leur côté. J’attends de voir ce que cela peut donner. Quant aux Edic, les projets sont toujours très intéressants sur le papier, mais je regrette qu’ils ne communiquent pas suffisamment entre eux. J’ai eu l’occasion de discuter avec certains responsables, et ils travaillent vraiment dans leur coin. C’est regrettable, car plusieurs Edic sont compatibles entre eux ou avec d’autres projets européens, et ils pourraient éviter de réinventer des couches technologiques déjà développées ailleurs.

Je me demande parfois s’il ne faudrait pas créer une sorte de Centre européen de la recherche nucléaire (Cern) du numérique, qui rassemblerait la recherche, les choix stratégiques de l’État, le secteur public et les entreprises. Nous avons un vrai problème de cohérence. La politique industrielle de l’Europe, si tant est qu’elle existe de manière clairement établie, manque de cohésion d’ensemble.

Ensuite, sur le recours à la communauté du logiciel libre. Le logiciel libre est une philosophie très intéressante, à laquelle j’adhère sur de nombreux principes. Dans la réalité, je préfère parler de logiciels ouverts et protecteurs. Ouverts, au sens où leur code est visible, sans forcément porter toute la philosophie libertaire de Richard Stallman. Il existe déjà des logiciels ouverts que l’on peut dupliquer et sur lesquels on peut travailler. Certains mobiles ont aussi un environnement qui protège la vie privée, comme Murena. Ce sont des solutions qui existent et dont il faut parler davantage. Le principal manque aujourd’hui est un modèle économique viable pour rémunérer tous les développeurs individuels ou associatifs qui maintiennent et développent ces briques de logiciels ouverts. C’est aux États de trouver un moyen d’encourager ces pratiques.

Enfin, sur le recours au numérique, il s’agit d’un problème systémique et chimique. Des études montrent que nous avons un vrai problème de surstimulation au niveau des neurotransmetteurs. Nous générons nous-mêmes les hormones qui nous rendent chimiquement dépendants des usages numériques. Ce phénomène est accentué par les IA génératives, qui flattent notre ego et nous enferment dans un cycle de questions-réponses qui sollicite notre besoin en dopamine ou autres neurotransmetteurs. Il y a une vraie question de santé publique derrière cela. Dominique Boullier compare souvent le numérique à des drogues que l’on interdit, alors que le numérique est en « open bar ». C’est une question très compliquée à régler, car elle touche à la liberté d’usage d’un produit que nous achetons. Les seules solutions proposées sont souvent individuelles, comme la « détox » numérique.

Il faut aborder ce sujet comme un problème de santé publique, en finançant davantage d’études en Europe pour être en capacité d’y répondre. À une époque, on servait du vin à la cantine, ce qui ne choquait personne. Aujourd’hui, il faut prendre conscience de ces micro-dépendances qui impactent notre quotidien, mais aussi notre capacité à penser et à nuancer, car nous sommes dans une réponse systématiquement émotionnelle et directe. C’est à l’État de prendre des directives pour trouver un moyen de nous « désintoxiquer » collectivement.

Mme Lou Welgryn. Je suis tout à fait d’accord sur le besoin de sortir des réponses individuelles et de ne pas parler que des usages individuels du numérique. Il faut apporter des réponses collectives. La première chose serait d’inverser la tendance actuelle. Par exemple, le plan « Osez l’IA » vise à ce que 80 % des TPE-PME utilisent de l’IA d’ici 2030. On pourrait peut-être interroger ce plan et se demander si l’IA est pertinente pour 80 % des PME, plutôt que de forcer ce type d’usage.

Ensuite, s’attaquer aux modèles économiques des plateformes est fondamental. Si elles sont aussi addictives, c’est parce que leurs revenus reposent quasi exclusivement sur la publicité, ce qui les incite à maximiser le temps passé sur leurs services et donc à rendre les contenus les plus addictifs possible. Il faut inventer d’autres modèles économiques.

On peut aussi parler des usages en entreprise et créer plus de protections pour les travailleurs face à l’implémentation forcée de ces outils. Une nouvelle directive impose que l’implémentation d’outils d’IA soit préalablement renseignée au CSE, mais on pourrait envisager bien d’autres options pour permettre aux travailleurs d’interroger cette mise en place systématique. Il y a un vrai enjeu à porter cette question de la décroissance de manière réglementaire, sans la faire reposer uniquement sur les individus.

Mme Alexandra Lutz. Pour compléter sur ce que peut faire l’État, je vois trois leviers. Le premier concerne les marchés publics : il faut les concevoir pour qu’ils soient plus petits, plus accessibles, et développer les compétences internes pour rédiger des appels d’offres favorisant l’open source. Ensuite, il faut travailler sur les standards pour que les architectures s’orientent dans cette direction et s’imposent à tous les acteurs. Enfin, sur la décroissance, le service public ne doit pas forcer l’utilisateur à aller systématiquement vers des services numériques. Il faut également remettre en cause certains objectifs au niveau européen, comme ceux du Digital Compass, qui nous obligent à une certaine utilisation du numérique.

Mme Francesca Coelho. Pour les projets de type Edic, auxquels j’ajouterais Gaia‑X pour le cloud, ces initiatives ont plusieurs mérites : elles posent des cadres, favorisent la coopération et font émerger des standards communs. Rien de tout cela ne va de soi. Il faut aussi souligner la lenteur et la complexité qui les accompagnent, surtout au vu de la fragmentation des acteurs et des intérêts au sein de l’Union européenne.

Concernant les communs numériques et l’open source, le défi est moins dans les principes, qui font l’objet d’un large consensus, que dans le passage à l’échelle. Concrètement, que signifie soutenir durablement des écosystèmes open source qui nécessitent des financements, des compétences et une gouvernance structurée ? Il y a une double facette : soutenir activement ces projets, par des subventions, des avantages fiscaux ou la mise à disposition d’agents publics, et réguler ce qu’on peut appeler le « capitalisme de surveillance ».

Enfin, la loi pour une République numérique a introduit la catégorie très intéressante des « données d’intérêt général ». Elle n’est probablement pas encore très efficace, mais on pourrait la rendre plus effective, notamment en établissant clairement le droit des administrations et des acteurs publics de récupérer auprès des acteurs privés les données nécessaires à leurs missions.

Mme Cyrielle Chatelain. Si, en suivant nos travaux, vous identifiez des points sur lesquels vous souhaiteriez apporter des compléments ou des réactions, n’hésitez pas à nous les envoyer par écrit. De même, si vous avez des éléments à nous transmettre pour accompagner votre témoignage, ils seront les bienvenus. Merci beaucoup pour vos interventions.

La séance s’achève à douze heures cinq.

———

Membres présents ou excusés

Présents. – M. Nicolas Bonnet, Mme Cyrielle Chatelain, M. Stéphane Rambaud

Excusé. – M. Philippe Latombe