— 1 —

La séance est ouverte à dix heures trente.

M. le président Philippe Latombe. Nous poursuivons nos travaux avec l’audition de MM. Billon, Le Baron et Weill, que je remercie d’être présents.

Pour lancer la discussion, quel est, selon vous, le degré de dépendance de vos administrations aux services numériques extra-européens ? Comment évaluez-vous leur vulnérabilité à des fuites de données ? Quelle stratégie poursuivez-vous pour limiter ces dépendances et vulnérabilités ?

Avant de vous donner la parole pour un propos liminaire, je vous prie de déclarer tout intérêt public ou privé de nature à influencer vos déclarations. De plus, l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter le serment de dire la vérité, toute la vérité, rien que la vérité.

(MM. Yves Billon, Audran Le Baron et Mathieu Weill prêtent successivement serment.)

M. Audran Le Baron, directeur du numérique pour l’éducation, ministère de l’éducation nationale. Je vous remercie de l’intérêt que vous portez à ces questions qui, trop longtemps, sont restées cantonnées au cercle des DSI (directions des systèmes d’information). S’il est bon de s’y intéresser au niveau des comités de direction, ce à quoi nous nous employons de façon quotidienne, il me semble salutaire d’élever le sujet au niveau politique.

Le ministère de l’éducation nationale représente un parc d’environ 400 applications nationales et 1 500 applications locales. En effet, notre système d’information s’est d’abord construit à une maille académique. Ce choix historique a dicté nos orientations technologiques, menant à certaines dépendances vis-à-vis de logiciels non européens, principalement états-uniens.

Par ordre d’importance en matière de sortie de ces dépendances, j’évoquerai d’abord Oracle. Nous utilisons cette technologie pour les services d’identité de messagerie dans les académies – même si elle y est en cours de remplacement – et nous recourons à son serveur WebLogic pour une bonne partie de nos applications web. Oracle est donc le principal éditeur dont nous voulons sortir, mais je précise que le problème ne se situe pas au niveau des bases de données. Notre ministère utilise Oracle dans ce domaine, mais nous avons surtout une adhérence au produit Db2 d’IBM, deuxième éditeur états-unien dont nous souhaiterions sortir à moyen terme. Nous recourons aussi à la technologie BusinessObjects de SAP, mais il ne s’agit pas d’une dépendance non européenne. Enfin, nous avons un plan de sortie, quoique nettement plus compliqué à mettre en œuvre, pour la technologie VMware, qui concerne les couches d’infrastructure et de cloud interne.

Voilà, au fond, la photographie actuelle du système d’information de notre ministère. Sachez que le cadre de cohérence technique qui s’applique à tous les nouveaux projets et à toutes les refontes de projets est, lui, exempt de dépendances à des technologies non européennes, ou du moins privées. Tous les systèmes d’information se fondent désormais sur le système d’exploitation Linux et plus particulièrement Red Hat Linux, avec qui nous avons un contrat – cette distribution étant aisément substituable. Nos serveurs d’applications sont, eux, basés sur Apache Tomcat et sur Java Spring Boot ; et toutes nos bases de données sont sous PostgreSQL. Ainsi, toutes les technologies de base auxquelles nous recourons comme infrastructures pour les nouveaux projets sont largement libres, étant rappelé que nous déployons également Kubernetes sur l’ensemble des nouveaux systèmes d’information et que, de la même manière, toute la forge de développement logiciel est fondée sur des logiciels libres, à commencer par GitLab.

S’agissant ensuite des outils collaboratifs, je rappelle qu’au moment du covid, le ministère a déployé une offre complète d’outils libres et souverains auprès de l’ensemble de ses 1,2 million d’agents, soit la moitié de la fonction publique d’État, derrière le portail apps.education.fr. Je parle ici d’un outil de visio et de classe virtuelle pour la continuité pédagogique dans les écoles, collèges et lycées, outil basé sur le logiciel libre BigBlueButton. Environ 1,5 million de visios sont organisées chaque année, réunissant 500 000 participants chaque mois. Il s’agit donc d’un passage à l’échelle d’un logiciel libre hébergé chez Scaleway, un acteur français du cloud. En matière de partage de fichiers, nous avons déployé Nextcloud à l’échelle ; ce logiciel compte 300 000 utilisateurs actifs et gère un volume de 500 millions de fichiers, soit 1 200 téraoctets de stockage – c’est donc le plus grand Nextcloud de France, si ce n’est d’Europe. Nous disposons aussi du portail de collaboration Tribu, fondé sur la technologie libre Nuxeo ; ses développements internes existaient bien avant le covid et le déploiement de l’offre interministérielle Resana. Nous proposons enfin une plateforme de partage de vidéos, cette fois basée sur PeerTube, afin que les enseignants puissent en montrer à leurs élèves sans passer par YouTube et les publicités qui vont avec.

Il nous manquait la brique de messagerie qui, comme je le disais, est actuellement basée sur Oracle au niveau académique. Nous avons le projet de sortir de cette technologie au profit d’une offre nationale s’appuyant sur la technologie libre Zimbra. Je parle ici de 1,2 million de boîtes personnelles et de 300 000 boîtes fonctionnelles, ce qui en ferait la plus importante messagerie professionnelle libre d’Europe, pour un coût complet de maintien en condition opérationnelle (MCO) que nous estimons à 2 euros par boîte et par an une fois l’ensemble déployé. Nous en sommes à 420 000 boîtes, soit un tiers de l’objectif, ce qui en fait déjà la plus grande messagerie du secteur public.

L’équipement matériel, lui, ne concerne que les 40 000 agents en poste en administration centrale ou académique, c’est-à-dire les rectorats – les enseignants et les personnels en établissement s’équipent eux-mêmes ou sont fournis par les collectivités territoriales. Ces agents administratifs sont équipés de PC, pour la plupart sous Windows et dotés de la suite Office – une configuration des postes de travail qui requiert un contrat de 2,4 millions d’euros par an avec Microsoft pour le maintien des licences. Je précise que nous n’utilisons pas les services cloud de Microsoft, mais uniquement la suite bureautique installée sur les postes. Toute la collaboration a lieu sur les outils que j’ai cités précédemment, des outils libres et hébergés soit dans nos data centers interministériels, soit dans des clouds souverains.

L’ensemble de nos systèmes d’information s’appuient sur des technologies web. Il n’y a donc, pour ainsi dire, pas d’adhérence de nos applications métier avec le poste de travail, à l’exception de quelques outils bureautiques, comme les parapheurs électroniques, qui requièrent une installation locale sous Windows. Le problème de l’adhérence n’est donc pas tant technique que lié aux usages.

À cet égard, c’est une transition que nous ne pourrons pas mener seuls, au sein du ministère. Cela demande une prise de conscience à l’échelle interministérielle afin de rompre avec l’habitude des documents Word, Excel, PowerPoint, qui sont envoyés par mail. Les suites de collaboration que nous utilisons, y compris celles de la Dinum (direction interministérielle du numérique), comme Docs et Grist, permettent de quitter cette habitude aussi ancrée dans les ministères que dans les organisations publiques et privées. Le questionnaire que nous avons reçu en vue de cette audition, par exemple, était sous format Excel. Ce n’est donc pas tant un défi technique, je le répète, qu’une question liée à la transformation des usages. Nous nous y employons, mais c’est un élément qui doit être traité au plus haut niveau.

Il y a ensuite tout ce qui concerne le numérique éducatif, c’est-à-dire dans les écoles, collèges et lycées, domaine dans lequel le ministère n’intervient pas directement mais formule des prescriptions à destination des collectivités, qui équipent les établissements, et des équipes pédagogiques, qui choisissent librement leurs outils de vie scolaire, comme Pronote. Le ministère a élaboré ce que l’on appelle la doctrine technique du numérique pour l’éducation, qui fixe un cadre en matière d’interopérabilité, de sécurité et de numérique responsable, de façon à prévenir tout usage non conforme à nos principes – j’y reviendrai si vous le souhaitez.

Outre cette doctrine, nous apportons également des briques d’infrastructure publique, comme EduConnect pour l’authentification des utilisateurs, ou le GAR – le gestionnaire d’accès aux ressources –, qui permet de filtrer les données et d’éviter que des données personnelles soient saisies dans tous les services numériques pédagogiques. C’est un élément d’infrastructure centrale qui permet d’organiser et de respecter pleinement le RGDP (règlement général sur la protection des données) dans tous les outils utilisés. C’est également là qu’on retrouve la recommandation du ministère de ne pas utiliser de suites collaboratives non européennes à portée extraterritoriale, comme Office 365 ou Google Workspace, dans les établissements. C’est une prescription forte du ministère, mais une prescription seulement.

M. Yves Billon, chef du service du numérique au secrétariat général des ministères économiques et financiers. S’agissant du numérique, les ministères économiques et financiers ont une organisation assez particulière, en l’occurrence très cloisonnée. Il existe près d’une dizaine de DSI et le rôle du chef de service est triple. Je suis le directeur des systèmes d’information du groupe ministériel – c’est notamment l’objet de ma présence – ; mais aussi le directeur opérationnel pour l’administration centrale, qui représente environ 8 000 agents – cela correspond aux structures d’état-major de Bercy ; et j’ai enfin une fonction de délégué à la protection des données ministérielles, ce qui assure une forte sensibilisation sur les projets particuliers du ministère.

Bercy recourt à environ 1 500 applications, dont une bonne moitié par la DGFIP (direction générale des finances publiques). Cette direction a donc un poids particulier, sachant que les applications qu’elle utilise concernent soit l’ensemble de la sphère économique, soit l’ensemble de la population civile ; ce sont des systèmes d’information extrêmement importants.

Depuis très longtemps, notre culture est résolument orientée sur le logiciel libre. Les approches et les stratégies peuvent varier d’une direction à l’autre, mais la DGFIP joue un rôle de fer de lance dans ce domaine ; c’est elle qui porte le marché de support logiciel libre pour le compte de l’ensemble des ministères. C’est important pour elle et elle est prête à jouer le jeu de l’interministériel pour être efficace dans ce domaine.

S’agissant des dépendances, il faut s’entendre sur la définition, car il y a des niveaux où l’on peut assumer de faire des choix extra-européens en matière de solutions logicielles ou matérielles. À cet égard, nous souffrons actuellement de l’augmentation des prix des ultraportables et des serveurs ; nous constatons que notre dépendance n’est pas totalement maîtrisée. L’important est donc de garder le contrôle et de savoir réagir lorsqu’on le perd dans certains domaines. Je donnerai trois exemples.

Le premier est Oracle, technologie avec laquelle nous sommes unanimement en difficulté au niveau interministériel, et ce depuis très longtemps. Nous essayons de recourir le plus souvent possible aux solutions alternatives libres, mais cette démarche comporte des risques techniques étant donné que nos bases de données sont très importantes et que nous ne pouvons pas rater certaines échéances, comme la campagne annuelle de déclarations d’impôts. Il faut trouver un équilibre. Oracle constitue donc un point d’attention permanent, l’objectif étant d’en limiter l’usage dès que possible afin de rééquilibrer notre panier.

Le deuxième cas que je citerai est celui du logiciel statistique SAS – utilisé par l’Insee, qui fait partie de la sphère de Bercy –, dont l’éditeur est américain. Ce dernier a eu une approche un peu carnassière – sans parler de certaines pratiques d’accompagnement un peu choquantes alors même que nous étions en négociations –, qui a abouti à la décision ministérielle partagée de sortir du logiciel. C’est dommage pour l’éditeur, mais nous assumons notre choix. Cela ne signifie pas qu’il n’y a plus de factures SAS, car il demeure des points de sortie, mais la décision de migrer vers les solutions R et Python est très importante face à un éditeur en qui nous ne pouvions plus avoir confiance. SAS a d’ailleurs exprimé le souhait que l’Insee adopte une communication moins virulente à son égard.

Le troisième cas, qui a touché tout le monde, est le logiciel de virtualisation VMware. Il s’agit en l’occurrence d’un cas typique de dépendance maîtrisée, puisque l’approche là aussi carnassière de fonds d’investissement, qui voulaient rentabiliser très rapidement leur mise, s’est révélée assez peu douloureuse pour le ministère, et ce pour plusieurs raisons. Le cloud Nubo s’appuie sur des logiciels libres en matière de gestion de la virtualisation, c’est-à-dire de l’OpenStack, si bien qu’il n’y a pas eu d’impact. La DGFIP n’a quasiment rien vu passer, tandis que les effets ont été relativement limités sur les autres directions puisque, je le répète, c’était une dépendance maîtrisée. Nous sommes en train de travailler les points de sortie.

Quand un partenaire commercial donne l’impression que ce que l’on ressent et dit ne sert à rien, nous avons une force de frappe suffisante pour prendre le taureau par les cornes et changer de stratégie. Comme pour SAS, qui nous a écœurés par ses pratiques, nous explorons des solutions alternatives à VMware, comme Proxmox, que nos équipes testent en profondeur. Ces solutions réservent tout de même quelques surprises : il ne faut pas croire que les bascules se passent toujours très facilement. Nous choisissons nos combats.

S’agissant enfin de ce que l’on pourrait appeler la vraie souveraineté, j’ajoute que certaines questions relèvent plutôt du développement économique. La DGE (direction générale des entreprises) n’est pas représentée aujourd’hui, mais elle pourrait s’exprimer sur le fait que nous ne disposons pas toujours des filières pertinentes pour construire des solutions alternatives aux technologies étrangères. Le directeur des systèmes d’information ne peut pas porter toutes les misères du monde en même temps et quand il n’y a pas d’offre, il n’y a pas d’offre !

Nous sommes très vigilants quant à tout ce qui concerne la cybersécurité et nous appuyons sur les recommandations mises en avant par l’Anssi, l’Agence nationale de la sécurité des systèmes d’information. Certaines expériences sont bonnes, par exemple s’agissant de la technologie EDR (Endpoint Detection and Response) où, pour le contrôle du poste de travail, la solution française HarfangLab a été intégrée avec succès par nos équipes. En revanche, d’autres expérimentations se sont révélées infructueuses ; je pense notamment à un VPN (réseau privé virtuel) dont je tairai le nom mais sur lequel ceux qui l’ont éprouvé se sont littéralement cassé les dents. Nous avons besoin de partenaires qui tiennent la route.

En définitive, en matière de sécurité, le point central pour nous est la protection des données. Notre posture est à cet égard très nette ; elle va au-delà du RGPD et des seules données à caractère personnel. Je me plais à dire que Bercy est un ministère qui protège des secrets : secrets fiscaux, secrets douaniers, secrets des affaires – ceux-ci ne sont pas toujours suffisamment structurés, mais nous devons protéger les données que les entreprises nous font parvenir – et enfin secrets statistiques, car quand l’Insee conduit une enquête très sensible sur des populations ou des entreprises, il convient également d’être exemplaires en matière de protection des données. La question de leur hébergement est donc un point d’attention très partagé. Cela ne signifie pas qu’il soit toujours simple de défendre ce point de vue en interne, car il y a parfois des arbitrages compliqués, mais c’est sur ce point que nous sommes le plus vigilants. Nous espérons d’ailleurs que cette commission d’enquête nous apportera un appui supplémentaire dans ce domaine.

M. Mathieu Weill, directeur de la transformation numérique (DTNUM), ministère de l’intérieur. À mon tour, je vous remercie pour cette commission d’enquête, qui met un coup de projecteur sur des sujets qui font partie des préoccupations quotidiennes des équipes numériques des ministères, mais qui n’ont pas toujours été reconnus comme des enjeux majeurs. Les questions de contingence et de sensibilisation à certaines dépendances étrangères constituent des chantiers de long terme – j’y reviendrai – et pour lesquels la continuité de l’action publique est absolument essentielle.

Au sein du ministère de l’intérieur, j’occupe d’abord les fonctions de directeur de la transformation numérique, l’une des DSI les plus importantes du ministère. Comme Yves Billon, j’ai également une casquette de directeur des systèmes d’information du groupe, comme on dirait dans le privé. Je suis par ailleurs secrétaire général adjoint chargé du numérique ; à ce titre, j’ai pour mission de mettre de la cohérence dans la politique numérique du ministère. Cette dernière fonction a été créée dans le cadre de la Lopmi, la loi d’orientation et de programmation du ministère de l’intérieur, qui prévoit un renforcement très important de la fonction numérique ministérielle et de l’investissement du ministère dans le domaine numérique.

Derrière le ministère de l’intérieur, il y a bien entendu les forces de sécurité – police et gendarmerie nationales – mais aussi l’ensemble des missions régaliennes que nous exerçons dans toute leur diversité : les nombreuses délivrances de titres, la gestion de crise, ainsi que le pilotage de l’administration centrale. S’y ajoute l’ensemble du réseau préfectoral dans les territoires, marqué par une forte dimension interministérielle. Dans les départements, les directions départementales interministérielles regroupent des agents de différents ministères, mais toutes sont soutenues par les outils du ministère de l’intérieur. Nous servons ainsi environ 300 000 agents, ce qui vous donne un ordre de grandeur des systèmes d’information que nous soutenons. On en dénombre plusieurs milliers, évidemment de tailles différentes, mais très souvent extrêmement sensibles – j’y reviendrai.

Pour nous, les enjeux de dépendance et de vulnérabilité recouvrent trois grandes priorités.

La première est consubstantielle à l’existence même du ministère : il s’agit de la continuité de l’action de l’État. Au-delà de la campagne des impôts, il faut que ça tourne en permanence ! Nous connaissons bien ce débat avec nos collègues des finances publiques. La culture et l’action du ministère de l’intérieur sont résolument orientées vers la question de la continuité, et nous abordons aussi les enjeux de dépendance à travers ce prisme. Il n’est pas possible de tolérer la moindre suspension en raison d’un différend contractuel ou d’une interruption de marché – ce qui a beaucoup de conséquences.

La deuxième priorité est celle de la confidentialité des données, eu égard à la confiance qui nous est accordée et à la sensibilité des données gérées par le ministère.

Quant à la troisième, il s’agit, particulièrement en cette période de contraintes budgétaires, de l’exposition aux rehaussements tarifaires, lesquels sont en train de devenir la stratégie classique d’un grand nombre d’éditeurs de logiciels. Mes collègues en ont parlé, citant notamment VMware : c’est une préoccupation importante.

Depuis très longtemps, le ministère de l’intérieur – à l’instar de celui de l’éducation nationale et des ministères économiques et financiers – revendique une culture du logiciel libre marquée, comme je le disais, par une très grande attention aux enjeux de continuité et de réduction des dépendances. C’est pour cette raison que nous sommes l’un des deux opérateurs de cloud interministériel. Nous avons d’ailleurs toujours privilégié la stratégie consistant à héberger nos propres systèmes, dans des centres de données maîtrisés par la puissance publique. Concernant les systèmes d’information les plus sensibles, nous ne pouvons en effet nous permettre la moindre dépendance, même intra-européenne ou nationale. Quand on fait la remontée des résultats des élections, par exemple, on n’a pas très envie qu’un acteur économique, quel qu’il soit, puisse interférer dans le processus, tout simplement pour des raisons de confiance dans la vie démocratique de notre pays.

Ce sont bien sûr des orientations lourdes de conséquences en matière d’investissements et de compétences, orientations qui s’inscrivent évidemment dans des durées très longues. Ne serait-ce que pour construire un data center, l’équiper et le rendre opérationnel, il faut de cinq à dix ans. Mais la capacité à héberger nos systèmes dans nos infrastructures, comme le font nos collègues de la DGFIP, qui est le deuxième opérateur interministériel, garantit une forme de continuité, car personne ne peut agir sur ces systèmes ni les interrompre. Cela permet de maîtriser les enjeux d’accès par des tiers à ces infrastructures – et nous savons quel défi cela représente.

Comme les autres, nous sommes exposés aux difficultés liées à la bureautique installée sur les postes de travail. Je le répète, près de 300 000 agents travaillent au ministère de l’intérieur. Cela dit, nous nous efforçons depuis longtemps de limiter cette dépendance. La gendarmerie nationale a, depuis les années 2000, fait le choix d’un poste de travail et d’outils collaboratifs entièrement libres, c’est-à-dire un poste Linux et des outils fondés sur LibreOffice. Le reste du ministère utilise des postes Windows, donc le système d’exploitation de Microsoft, mais par défaut avec des outils de collaboration libres plutôt que la suite Office, qui est globalement réservée aux agents travaillant le plus en interministériel, c’est-à-dire ceux en administration centrale.

Citons aussi l’investissement de long terme qui a été fait pour équiper les policiers et gendarmes en téléphones dits NEO (nouvel équipement opérationnel) ; cela permet de maîtriser le système d’exploitation mobile grâce à SecDroid. Ce système édité par l’Osiic, l’opérateur des systèmes d’information interministériels classifiés, a été retenu par le ministère mais aussi par les services du Premier ministre.

Autre élément de stratégie : nous nous appuyons au maximum sur la mutualisation. Nous faisons partie des plus gros utilisateurs d’outils interministériels mis à disposition par la Dinum. Je pense au réseau interministériel de l’État (RIE) ; il s’est construit grâce aux équipes du ministère de l’intérieur qui s’occupaient du réseau général de télécommunications (RGT), afin de mettre ce dernier à la disposition de l’ensemble des ministères. De la même manière, 35 à 40 % des usagers de la messagerie instantanée Tchap travaillent au ministère de l’intérieur et s’en servent de manière très opérationnelle, par exemple pour la gestion de crise depuis une préfecture ou pour la lutte contre l’immigration clandestine dans certains départements.

Il demeure toutefois énormément de dépendances ; nous ne prétendons pas du tout avoir résolu la question – qui ne le sera probablement jamais. Celles sur lesquelles nous avons du mal à travailler ont évidemment trait au hardware, à commencer par les composants électroniques comme les puces. Nous n’achetons que du matériel existant, mais nous connaissons sa provenance. Or il n’existe aucune offre européenne de puces dotées d’une capacité de calcul suffisante pour l’intelligence artificielle. C’est un maillon essentiel de la chaîne de valeur sur lequel nous n’avons, à notre niveau, que peu d’influence – je fais ici le lien avec la politique industrielle qu’évoquait Yves Billon. De même, concernant les serveurs et les postes de travail, la chaîne de valeur est essentiellement asiatique et américaine. Ce sont des questions que nous gérons par d’autres biais.

Quant aux logiciels, nous sommes également exposés – comme tout le monde. Je pourrais, comme mes collègues, évoquer VMware qui, chez nous, concerne plutôt les systèmes historiques. La plateforme d’hébergement de cloud interministériel étant basée sur du logiciel libre, nous avons contenu cette dépendance, mais cela reste un sujet de préoccupation, car changer de plateforme d’hébergement est un processus très long ; on ne bascule pas d’un claquement de doigts. Oracle est également très utilisé dans le ministère, même si cela fait cinq ou six ans que nous ne l’utilisons plus pour nos nouveaux projets. Nous cherchons donc plutôt à ne plus recourir à cette technologie, même si plusieurs gros systèmes continuent de fonctionner grâce à elle.

Face à ces dépendances, les réponses sont de trois ordres.

Il convient d’abord de recourir au maximum à des standards ; cela passe par nos cadres de cohérence technique et par la manière dont on structure les appels d’offres, les marchés et même les cahiers des charges des prestations. C’est tout à fait essentiel et ce n’est pas un travail aisé, car les industriels jouent autour de ces standards pour créer des résistances à la bascule d’un opérateur à l’autre.

La deuxième réponse a trait aux clauses de réversibilité, qu’il importe de prévoir dans les cahiers des charges. Cette opération peut paraître assez simple quand on regarde les déclarations d’intentions, mais il ne faut pas oublier que, dans la pratique, elle coûte extrêmement cher et prend du temps. Il faut donc l’anticiper. Si un marché dure trois ans et qu’il faut compter six à neuf mois de réversibilité, cela signifie qu’il faut préparer le futur marché un an et demi avant, soit à la moitié du marché en cours. C’est un élément structurant qui se construit sur le long terme.

Enfin, il est absolument essentiel d’identifier des sources alternatives, c’est-à-dire de conserver plusieurs fournisseurs dans certains domaines. S’agissant par exemple du cloud interministériel, nous travaillons sur des plateformes en logiciel libre avec le soutien de l’éditeur Red Hat. Cependant, pour le prochain déploiement, nos collègues de l’Agence du numérique des forces de sécurité intérieure (Anfsi) et nous-mêmes avons fait le choix de recourir à un autre éditeur. Si une interopérabilité totale est garantie, cette diversification permettra surtout de partager les risques. Elle nous offrira, à terme, la possibilité de nous désengager si l’opérateur change de politique, s’il se trouve soudainement soumis à une juridiction extra-européenne qui lui interdit de travailler avec nous ou de nous communiquer des informations sensibles, ou si nous perdons tout simplement notre confiance en lui.

Ce sont des sujets sur lesquels nous devons travailler collectivement pour accroître notre efficacité opérationnelle et nous doter de nouveaux réflexes, qu’il nous faudra ensuite faire connaître à l’ensemble des acteurs de chaque ministère. En effet, dans les décisions relatives à la construction d’un système d’information, le directeur du numérique – quelles que soient ses qualités personnelles – n’est pas seul à bord. Ces arbitrages se prennent au niveau des directions chargées des politiques publiques et des secrétariats généraux. En la matière, il est indispensable de faire preuve de pédagogie. Des textes ont déjà été adoptés en ce sens : par exemple, la circulaire relative aux achats numériques de l’État rappelle que la souveraineté est l’un des facteurs déterminants à prendre en compte. Toutefois, il reste encore beaucoup de chemin à parcourir : dans l’achat public, cette exigence ne s’est que peu traduite dans des cas concrets susceptibles de fonder une jurisprudence. Pour les décideurs ultimes, un double risque subsiste : le risque pénal au titre du code de la commande publique, et le risque d’engager sa responsabilité de gestionnaire public si le choix effectué venait à être critiqué ultérieurement par la Cour des comptes. Ce sont des enjeux de responsabilité majeurs. Tout ce que nous pourrons faire pour consolider ce cadre juridique, de même que la construction de stratégies dédiées, va donc vraiment dans le bon sens.

Yves Billon a dit tout à l’heure qu’il nous fallait « choisir nos combats ». En effet, ces combats sont nécessaires mais on ne peut pas tous les mener de front, car chacun d’entre eux s’inscrit dans une stratégie de long terme et mobilise une énergie et des moyens considérables. L’investissement nécessaire pour créer une solution alternative ou, simplement, pour passer d’une source unique à une double source, implique de lancer de nouveaux projets et d’y consacrer des effectifs. À court terme, cela représente en général un coût supplémentaire, à l’instar des investissements en faveur de la sécurité ou de la résilience. Toutefois, ces choix ont une valeur. Notre rôle est de faire reconnaître cette valeur pour que ces exigences deviennent des réflexes au sein de l’appareil d’État. C’est un point fondamental.

L’autre élément capital, c’est que tout cela va reposer sur des personnes, des agents publics qui doivent être capables de porter des projets de ce type. Ils ne peuvent se contenter d’être les intégrateurs de solutions venant des industriels ou les exécutants de projets conçus ailleurs. Il nous faut des architectes et des directeurs de projets, autant de fonctions critiques que l’État doit impérativement réinternaliser. Mes collègues ne l’ont pas encore évoqué, mais c’est une problématique classique et documentée par des rapports d’inspection depuis de nombreuses années : la fonction numérique de l’État est aujourd’hui trop externalisée. Cela ne signifie pas que l’État devrait se passer du secteur privé, mais cette externalisation est devenue excessive, au point de nous placer parfois dans une situation de dépendance où nous perdons jusqu’à la capacité de concevoir le basculement d’un projet vers un autre.

Ce mouvement de réinternalisation doit absolument être poursuivi. C’était d’ailleurs un axe fort de la Lopmi dès son adoption. Même si sa trajectoire a dû être révisée pour tenir compte des contingences budgétaires, le ministère de l’intérieur maintient un effort important pour réinternaliser les postes-clés du numérique. Une trentaine de créations de postes sont encore prévues en 2026 dans le cadre de cette réinternalisation, en dépit de différentes contraintes, notamment celles liées au plafonnement des emplois. C’est absolument indispensable si nous voulons maîtriser nos dépendances et réduire nos vulnérabilités.

La définition d’une stratégie, la réinternalisation de nos compétences et le choix de nos combats sont les trois axes à suivre, à mon sens, pour amorcer le processus – long et semé d’embûches – de réduction des dépendances numériques.

M. le président Philippe Latombe. Vous avez évoqué nos dépendances et, par exemple, l’évolution du prix des licences VMware. En revanche – et ce n’est pas une question piège –, vous n’avez pas abordé la question du versioning. Je pense notamment à Microsoft : le passage à Windows 11 impose de nouvelles exigences en matière de hardware. Vous l’avez malheureusement expérimenté – je sais que le ministère de l’intérieur est concerné, mais j’ignore s’il en va de même pour vos deux autres ministères. Avez-vous intégré cette problématique dans vos stratégies à venir ? Vous avez expliqué chercher à vous prémunir, autant que possible, des augmentations de coût des licences ; or, même à prix constant, un versioning peut imposer des modifications de hardware. Disposez-vous d’une cellule de veille ou de prospective sur ce sujet ? Avez-vous les capacités d’anticiper ces évolutions, voire de vous en affranchir ?

M. Mathieu Weill. Des discussions ont effectivement eu lieu sur cette thématique au sein du ministère de l’intérieur ; elles ont d’ailleurs trouvé un certain écho médiatique. La question centrale est celle du coût complet : c’est à ce niveau d’analyse que nous devons nous placer. Lorsque nous choisissons une solution technique, nous devons nous inscrire dans une vision de long terme qui englobe le maintien en condition opérationnelle et le maintien en condition de sécurité (MCS) de ces dispositifs. Il faut tenir compte du fait que les logiciels sont plus ou moins consommateurs de ressources : le coût de l’entretien d’un système inclut celui des infrastructures sous-jacentes. Dans le cas que vous évoquez, il s’agissait des postes de travail, mais nous rencontrons des problématiques similaires pour les serveurs. Ces difficultés existent d’ailleurs également pour les logiciels libres : la nécessité de suivre les évolutions d’un logiciel dans la durée pour garantir son niveau de sécurité entraîne parfois des incompatibilités, que ce soit avec les matériels ou avec d’autres applications.

Je vais prendre un exemple. Nous sommes tous engagés dans des stratégies visant à éviter les clients dits lourds – ces logiciels installés directement sur le poste de travail. La raison en est simple : à chaque mise à jour d’un composant logiciel, qu’il s’agisse de Windows, de Java ou d’un autre outil, il faut revérifier la compatibilité de l’ensemble de nos applications. Or il s’en trouve toujours une, généralement parmi celles dites obsolètes du parc ministériel, qui ne supporte pas la modification.

Nous devons donc gérer l’ensemble du parc en évoluant vers des stratégies où le maintien en condition opérationnelle est le plus modularisé possible. Mais au-delà des solutions techniques, il faut aussi faire évoluer nos postes de travail : tout cela influe donc sur les flux de renouvellement de nos équipements. Dans certains cas, on peut considérer que ce n’est pas seulement un coût, mais que cela offre aussi l’occasion de moderniser le parc matériel. Reste que si l’on fait le choix stratégique de tel ou tel système d’exploitation, on doit intégrer cette notion de renouvellement des postes dans le calcul du coût complet, car on sait que certains éditeurs sont plus gourmands que d’autres en ressources.

Côté Linux, il y a aussi des enjeux de gestion de la ressource, même s’ils sont moins formalisés puisqu’ils ne dépendent pas de la politique d’un éditeur unique. Quoi qu’il en soit, nous ne pouvons pas maintenir des postes trop anciens, même sous un système d’exploitation libre : à la fin, ce qui compte, c’est la performance de l’outil pour l’agent.

M. Yves Billon. Premièrement, nous observons bien une évolution de la logique des éditeurs vers un modèle de redevances annuelles. Nous n’achetons plus une version : nous payons un abonnement sur lequel nous n’avons d’ailleurs pas forcément de garanties à moyen terme ; nous restons donc exposés à tout moment à des inflexions importantes.

Le deuxième sujet majeur – Mathieu Weill l’évoquait –, c’est le maintien en condition de sécurité. S’il faut faire un arbitrage à un moment donné, la priorité va à la montée de version pour garantir cette sécurité. Un certain nombre des problèmes de cybersécurité que nous avons rencontrés sont liés à des failles non patchées. Nous ne pouvons nous satisfaire des derniers incidents auxquels nous avons été confrontés ; cependant, ils ne signifient pas que rien n’était en place. Nous sommes en relation permanente avec les fournisseurs et prêtons une attention constante à la cybersécurité.

D’ailleurs, lorsque l’éditeur va trop loin, il teste notre dépendance mais il provoque aussi la création d’anticorps en notre sein : cela nous incite précisément à relever le défi et à faire de la sortie de cette dépendance une priorité. De la même façon, toute alerte de cybersécurité nous redonne de l’énergie, en interne, pour renforcer nos défenses. Nous sommes donc engagés dans un combat permanent. Nous ne sommes pas nécessairement en situation de grande fragilité ; le rapport de force varie en fonction des acteurs et doit s’apprécier au niveau de chaque structure. Pour ma part, je ne partage pas totalement le constat de Mathieu Weill sur notre niveau de dépendance aux fournisseurs : tout dépend des projets. Certains ont connu des difficultés liées à une maîtrise interne insuffisante, mais il ne s’agit pas d’une généralité ni d’un trait systématique de nos systèmes d’information. Il ne faut donc pas complètement perdre espoir : nous disposons de ressources internes pour réagir. Cependant, je le répète, nous ne pouvons pas mener tous les combats de front.

Par ailleurs, nous avons besoin de partenaires fiables. La transition vers les redevances annuelles s’explique aussi par la difficulté croissante que nous éprouvons à héberger les éditeurs en interne, on-premise. Aller vers le SaaS (software as a service) est une facilité collective, ce qui nous amène à la réflexion sur le SecNumCloud : l’éditeur est-il prêt à nous soumettre une offre suffisamment souveraine et sécurisée, eu égard aux enjeux auxquels nous faisons face ? Finalement, la pression s’exerce des deux côtés. Il arrive fréquemment que des partenaires potentiels, français ou européens, jettent l’éponge lorsque nous leur exposons les contraintes associées au fonctionnement du secteur public. Le RGPD et les exigences de cybersécurité ne sont pas là pour rien ; or de nombreux éditeurs ne sont pas encore prêts à les intégrer. À l’inverse, d’autres acteurs de plus grande envergure ont déjà réalisé ce travail en avance de phase et répondent donc plus facilement aux exigences que nous devons respecter.

M. le président Philippe Latombe. J’espère que la généralisation de l’authentification multifacteur figurera parmi les anticorps que vous évoquez ; cela éviterait bien des déconvenues.

Mme Cyrielle Chatelain, rapporteure. Vous avez évoqué la question de la compétence en interne : quels sont les effectifs dédiés à ces systèmes d’information et comment envisagez-vous leur évolution ? Pourriez-vous également préciser la répartition entre fonctionnaires et contractuels au sein de vos équipes ?

Par ailleurs, vous avez distingué un certain nombre d’enjeux et d’acteurs clés en matière de dépendance. Pouvez-vous nous fournir une évaluation des coûts liés aux licences privées et, notamment, des coûts que représentent ces opérateurs vis-à-vis desquels vous identifiez une dépendance majeure ?

M. Audran Le Baron. En matière de ressources humaines et de compétences internes, tout dépend du périmètre retenu, tant le sujet du numérique s’organise en cercles concentriques. Si l’on considère l’ensemble des compétences informatiques du ministère – y compris l’assistance de proximité, dans les académies, pour la bureautique –, nous comptabilisons environ 3 000 ETP (équivalents temps plein), qui se répartissent entre 2 200 fonctionnaires et 800 contractuels, pour arrondir. Toutefois, si l’on se focalise sur les métiers liés à la conception, au développement et à l’intégration, en excluant l’assistance et l’exploitation, les effectifs se situent autour de 400 ETP pour le ministère de l’éducation nationale. Ce groupe se répartit entre une centaine d’agents en administration centrale et environ 300 agents dans les services déconcentrés. Sur cette population spécifique, la part des contractuels est sensiblement plus élevée. Ce sont là les ordres de grandeur, mais nous pourrons vous transmettre des chiffres plus détaillés selon le périmètre précis que vous souhaiterez cibler.

Je rejoins pleinement Mathieu Weill sur la nécessité de réinternaliser les compétences. Comme il l’a rappelé, ce besoin a été largement documenté par les inspections générales, notamment celle des finances. Au sein de notre ministère, nous avons bénéficié, il y a trois ans, d’une vague de réinternalisation de 60 ETP qui s’est avérée cruciale pour ramener les taux d’externalisation d’un certain nombre de nos projets à des niveaux soutenables. Encore une fois, nous sommes un ministère très déconcentré : le pilotage de nos systèmes d’information nationaux est assuré par la direction du numérique pour l’éducation (DNE), rue de Grenelle, mais leur réalisation opérationnelle est répartie sur l’ensemble du territoire, au sein d’équipes avec lesquelles nous entretenons un lien fonctionnel. Sur certains projets nouveaux, la phase de développement a nécessité le renfort de forces vives de travail, ce qui s’est traduit essentiellement par un recours à des prestations extérieures, hors titre 2, au détriment de la maîtrise interne. C’est pourquoi nous militons, tant en interne qu’au niveau interministériel, pour obtenir des dispositifs de réinternalisation de compétences et donc la création d’ETP dans la filière numérique. Ce fut le cas il y a deux ans et nous espérons que cet effort se poursuivra dans les prochains projets de loi de finances.

Notre objectif, c’est d’obtenir un taux d’externalisation soutenable. En interministériel, il a été admis qu’un taux dépassant 60 % devenait dangereux et qu’au-delà de 80 %, la situation n’était plus maîtrisable. Ce sont les points de repère sur lesquels nous nous appuyons. Si nous avons globalement réussi à sortir de la zone dangereuse pour la majorité de nos équipes, certains de nos systèmes « cœur de métier » présentent encore des faiblesses à ce niveau. Le but, c’est à la fois d’assurer un taux de maîtrise interne suffisant et de sécuriser les compétences clés nécessaires pour assumer pleinement nos orientations stratégiques en matière de systèmes d’information. Il s’agit donc surtout de cibler les domaines où l’internalisation des compétences est une priorité – mais Mathieu Weill en a déjà parlé, donc je n’y reviens pas.

S’agissant du coût des licences privées, j’ai évoqué, dans mon propos introductif, notre contrat avec Microsoft. Plusieurs chiffres, bien supérieurs à la réalité, ont circulé dans la presse ; je me suis donc hâté de rétablir les faits. Je le redis : le ministère de l’éducation nationale dépense 2,4 millions d’euros par an à ce titre. Ce montant comprend les postes de travail, pour l’essentiel, ainsi que quelques licences serveurs pour certains systèmes d’information métier spécifiques fonctionnant sous Windows – mais 98 % de nos SI métiers tournent sous Linux.

Au-delà de Microsoft, notre principale préoccupation concerne Oracle – c’est aussi, je crois, le cas de mes collègues. Le ministère dépense un peu plus de 1 million d’euros par an pour les briques Oracle hors bases de données, c’est-à-dire la gestion de l’identité, les serveurs d’application et le traitement de données. Toutefois, nous avons été contraints par l’éditeur de souscrire, en fin d’année dernière, un nouveau contrat ULA (Unlimited License Agreement) non prévu au budget. Ce contrat, d’un montant d’un peu plus de 3 millions d’euros, a été renouvelé pour trois ans. Cette période constitue la fenêtre temporelle que nous nous sommes fixée pour réduire drastiquement le nombre de licences actives au sein de notre système d’information. L’objectif est de diminuer drastiquement les coûts de licence versés à cet éditeur, dont la politique tarifaire est particulièrement agressive – je ne suis certainement pas le premier à vous le dire.

Le deuxième enjeu, que j’ai déjà évoqué, concerne les bases de données IBM Db2. Bien que les montants engagés soient plus modestes – environ 400 000 euros par an –, cette situation nous préoccupe. Par définition, nous ne savons pas comment évolueront les tarifs de cet éditeur ; il y a donc là un risque financier majeur, qui est documenté.

Enfin, le cas de VMware est sans doute le plus complexe, pour nous, en matière de sortie de la dépendance. Le ministère présente la particularité – qui est à la fois un avantage et un inconvénient – d’utiliser cette technologie sur l’ensemble de sa stack technique. Cette situation nous a protégés du récent changement de politique tarifaire de l’éditeur : celui-ci ayant regroupé l’ensemble de son offre, les clients qui n’en utilisaient qu’une partie ont dû acheter la totalité de l’offre, tandis que notre facture est restée stable. Ce choix nous a en outre permis d’opérer un cloud interne avec une économie de moyens humains considérable, les effectifs mobilisés étant sans commune mesure avec ceux qu’il faut employer pour faire fonctionner un cloud sur des technologies libres, comme le font la DGFIP ou le ministère de l’intérieur. Cela rejoint la question des compétences internes : c’est précisément parce que nous ne disposions pas des possibilités internes suffisantes, en nombre comme en expertise, que nous avons recouru à ces technologies. Il faut reconnaître qu’elles permettent, de ce point de vue, une très grande efficience. Le point de sortie est donc complexe. Aujourd’hui, les dépenses liées à l’ensemble des technologies VMware s’élèvent à environ 2,5 millions d’euros par an – il s’agit d’un montant annualisé sur la base de contrats pluriannuels. Voilà pour les grands éditeurs auxquels nous avons recours.

M. Mathieu Weill. Les ordres de grandeur étant similaires, je ne citerai pas tous les chiffres concernant le ministère de l’intérieur. S’agissant des effectifs, je veux toutefois compléter le propos de mon collègue sur deux points. D’une part, une DSI comme la mienne, qui est chargée de tout ce qui n’est pas police et gendarmerie, compte environ 700 emplois ; ils couvrent l’hébergement, le soutien de proximité, le développement, etc. Nous avons 150 à 200 projets en cours ; vous imaginez bien que le taux d’externalisation est donc très élevé pour la partie développement, comme le soulignait Audran Le Baron. Pour y faire face, la Lopmi a prévu, via le programme Conduite et pilotage des politiques de l’intérieur (CPPI) dont relève ma direction, la création de 300 emplois numériques supplémentaires, incluant un volet cybersécurité et des postes en services déconcentrés. À ce jour, un peu moins de 100 recrutements ont été finalisés. Nous poursuivons cette trajectoire, tout en composant avec les difficultés supplémentaires apparues en cours de route.

Toutefois, ces renforts ne vont pas complètement changer la donne. Le rapport sur les ressources humaines de l’État dans le numérique, produit conjointement par l’IGF (Inspection générale des finances) et le CGE (Conseil général de l’économie), estimait les besoins à 3 500 emplois numériques supplémentaires sur trois ou quatre ans ; voilà l’ordre de grandeur. Dans la Lopmi, outre les 300 emplois du programme CPPI, 150 postes supplémentaires ont été alloués à l’Agence du numérique des forces de sécurité intérieure, qui est l’une des DSI du ministère. Elle est désormais en bonne voie pour atteindre, à terme, un effectif de 450 personnes.

Il existe par ailleurs, au sein du ministère de l’intérieur, une filière interne historiquement puissante : celle de la gendarmerie nationale. À l’instar de la DGFIP, elle a fait ce pari il y a de nombreuses années en décidant d’entretenir, dès les années 1980 et 1990, des filières scientifiques et informatiques en son sein ; les taux d’internalisation y demeurent donc assez satisfaisants. Cette expertise constitue aujourd’hui un atout considérable pour ces organisations : le fait qu’elles disposent des compétences nécessaires en interne leur permet de maîtriser leurs dépendances.

S’agissant du coût des licences, je m’associe aux propos d’Audran Le Baron. Au-delà du surcoût qu’elles représentent, il faut surtout considérer le coût complet. Les éditeurs jouent souvent sur le fait que le prix d’une licence peut sembler dérisoire face au coût massif d’une transition technologique. Pourtant, si l’on adopte une vision pluriannuelle à cinq ou dix ans, l’investissement de transition vaut la peine. S’il coûte cher la première année, il permet par la suite une réduction des coûts annuels. Il y a là une difficulté classique qui est liée à notre cadre budgétaire annualisé : compte tenu du surcoût qui s’observe la première année, voire les deux ou trois premières années, il peut s’avérer difficile de mener une politique d’investissement à moyen terme. Certains éditeurs en profitent ; ils le font d’ailleurs de manière similaire avec le secteur privé, où l’on doit rendre des comptes chaque trimestre en Bourse. C’est l’un des enjeux auxquels nous sommes fréquemment confrontés : il faut pouvoir justifier un investissement immédiat qui n’entraînera de retour sur investissement que trois ou quatre ans plus tard. Sortir de la dépendance à l’égard d’un industriel nécessite donc une forte impulsion politique, ce qui n’est pas toujours simple pour des sujets qui demeurent souvent peu visibles dans le débat public.

M. Yves Billon. En matière d’effectifs internes, le ministère de l’économie et des finances mobilise environ 7 000 ETP dans le numérique : 5 000 à la DGFIP, 500 à la douane, 400 à l’Insee, le reste se répartissant au sein de l’administration centrale, dont les services comptent environ 250 personnes – et même 350 si l’on ajoute les assistants de proximité intégrés aux directions d’état-major, ainsi que les agents de l’AIFE (Agence pour l’informatique financière de l’État) et du Cisirh (centre interministériel de services informatiques relatifs aux ressources humaines). Au total, cela représente bien un effectif d’environ 7 000 agents.

Au-delà de cette dimension quantitative, c’est le volet qualitatif qui nous préoccupe : l’enjeu, c’est de parvenir à structurer des filières qui tiennent la route et garantissent de vraies montées en compétences. Greffer des SI du privé ne résout pas les problèmes propres à l’administration. Faire du numérique au sein du secteur public impose d’intégrer de nombreuses contraintes spécifiques, qui ne se posent pas forcément au privé. Nous avons donc le souci de créer des filières internes qui soient à la fois pertinentes et attractives.

S’agissant ensuite du coût des licences et redevances, je veux insister sur le fait qu’il n’est pas prédominant dans nos budgets ; je l’évalue, pour la centrale, à 5 à 10 % au maximum. Nous faisons face à d’autres enjeux de rigidité budgétaire qui concernent le matériel, les appuis techniques et, surtout, le recours aux prestations externes. À la suite de l’affaire McKinsey, un travail de mise sous contrôle a été effectué : une circulaire spécifique a encadré les prestations intellectuelles et informatiques. Nous en avons profité pour instaurer un cycle annuel de revue de nos dépendances vis-à-vis des prestataires. En l’occurrence, ce n’est pas un enjeu de souveraineté : il s’agit d’évaluer notre dépendance financière et notre maîtrise des compétences externalisées. Ce processus s’est révélé très instructif : il montre qu’une réflexion est en cours pour réduire nos dépendances. Même dans les domaines pour lesquels je craignais de mauvaises surprises, j’ai constaté qu’à chaque renouvellement de marché, tout était mis en œuvre pour garantir notre capacité à changer de partenaire. Du point de vue de Bercy, la maîtrise de la réversibilité est parfois plus stratégique que les questions liées au coût des redevances logicielles et à l’extraterritorialité.

En ce qui concerne Microsoft, je précise que nous ne sommes pas seuls à décider. Sur certaines briques techniques, comme les bases de données ou les environnements VMware, la décision appartient exclusivement aux DSI ; en revanche, pour les logiciels utilisateurs – tout particulièrement au sein des directions d’état-major et des cabinets ministériels –, la DSI n’est pas la seule décisionnaire. Certaines solutions qui nous conviennent parfaitement à titre personnel ne sont pas jugées adaptées au contexte professionnel d’un grand ministère comme celui de l’économie et des finances, notamment pour des raisons d’attractivité. Les ministères économiques et financiers sont confrontés à des enjeux d’attractivité qui dépassent la seule filière numérique, et l’argument de l’outillage – le fait de disposer de solutions « à l’état de l’art », cohérentes avec celles employées dans des fonctions équivalentes dans le privé – revient régulièrement dans les échanges. C’est pourquoi nous mettons parfois nos préférences techniques de côté.

Enfin, il convient tout de même de mettre en avant les résultats positifs obtenus avec les grands éditeurs par les deux services à compétence nationale que sont l’AIFE, avec l’application Chorus qui s’appuie sur le progiciel SAP, et le Cisirh, avec le système RenoiRH fondé sur HR Access. Avec le recul historique dont nous disposons, nous voyons que l’empreinte budgétaire de ces solutions est contrôlée, à l’instar des extensions de périmètre. RenoiRH, par exemple, se déploie progressivement dans l’ensemble des ministères. Bercy occupe de ce point de vue une position spécifique : nous utilisons HR Access, mais pas encore RenoiRH. Toutefois, une convergence s’opère en douceur dans le cadre de nos travaux internes. Le Cisirh, qui accompagne par ailleurs de gros partenaires interministériels pour lesquels les enjeux de bascule sont plus critiques que les nôtres, nous laisse le temps d’y aller. Dans ces cas précis, nous sommes certes dans une situation de dépendance vis-à-vis de grands éditeurs, mais cette dépendance est totalement contrôlée. De fait, nous serions sans doute moins performants si nous redéveloppions en interne des progiciels ayant un champ aussi vaste pour des fonctions qui sont finalement assez classiques, même s’il existe des spécificités liées à la fonction publique d’État.

M. le président Philippe Latombe. Je retiens de vos propos que nous devons faire passer l’INSP (Institut national du service public) directement à LibreOffice !

Mme Cyrielle Chatelain, rapporteure. Vous avez évoqué à plusieurs reprises la culture du logiciel libre au sein de vos administrations. Pourriez-vous nous exposer les solutions que vous avez déployées, en précisant depuis combien de temps elles le sont et si elles sont satisfaisantes ? Nous avons auditionné d’autres DSI qui exprimaient des réserves à ce sujet ; pourriez-vous préciser votre démarche et les retours d’expérience dont vous disposez ?

Par ailleurs, vous avez beaucoup dit qu’il fallait « choisir ses combats » et vous avez signalé des carences dans certaines filières. Quelles seraient, selon vous, celles auxquelles l’État devrait porter une attention particulière ?

M. Audran Le Baron. La culture du logiciel libre est intrinsèquement liée aux ressources internes en matière de numérique, un domaine dans lequel les ministères ne sont pas tous égaux. Il se trouve que nos trois ministères présentent un niveau assez homogène en la matière, car nous figurons parmi les quelques grands ministères à bénéficier de corps de fonctionnaires spécialisés dans le numérique.

Au sein du ministère de l’éducation nationale, par exemple, nous nous appuyons sur le corps des ITRF (ingénieurs et techniciens de recherche et de formation), dont une partie possède une expertise numérique. Nous disposons donc d’un grand corps de fonctionnaires particulièrement qualifiés, qui se maintiennent à niveau sur ces questions. Nombre d’entre eux ont été formés très tôt, dans leur métier de développeur, à l’utilisation de technologies libres. Par conséquent, cette culture du libre est profondément ancrée dans leur formation initiale et demeure très présente dans leurs pratiques.

Au-delà de la dimension numérique proprement dite, je crois que les valeurs du ministère de l’éducation nationale – la transmission des savoirs, l’ouverture sur la connaissance – entrent particulièrement en résonance avec les valeurs du logiciel libre et les communs numériques. Au sein de la direction numérique pour l’éducation, nous menons une politique en faveur des communs numériques, pas seulement pour des raisons informatiques mais également pour promouvoir les outils pédagogiques du quotidien de l’ensemble de nos agents, et en particulier de nos enseignants.

Parmi les communs numériques que nous utilisons figure Moodle, une plateforme d’enseignement à distance qui est probablement le logiciel libre le plus utilisé au monde dans la sphère universitaire et de l’enseignement. Nous avons déployé à l’échelle nationale une plateforme Moodle nommée Éléa, que tout enseignant peut utiliser pour créer ses cours et faire faire des activités à ses élèves. Nous avons une autre plateforme, basée sur le notebook Jupyter, qui est aussi une technologie libre qui permet à des professeurs de partager des activités autour de l’enseignement de l’informatique, des sciences numériques et, plus globalement, des Stiam (sciences, technologies, ingénierie, arts et mathématiques). Nous avons également proposé la Forge des communs numériques éducatifs, c’est-à-dire un atelier au sein duquel les enseignants peuvent créer des ressources, des outils numériques libres, en open source. Cette forge est motorisée par un GitLab – c’est le même type de forge que celle que nous utilisons en interne pour le développement de systèmes d’information. Nous promouvons beaucoup cette culture, au-delà des frontières du numérique proprement dit, parce que je pense que nous avons beaucoup à y gagner.

Quant aux combats à mener, j’ai déjà signalé, dans mes interventions, quelques points de dépendance qu’il nous semble prioritaire de traiter et sur lesquels nous travaillons. J’ai parlé d’Oracle, qui est le combat numéro un – nous nous attelons à la tâche. Le poste de travail est un autre combat, que chaque ministère ne pourra pas livrer seul dans son coin. Cette question, qui concerne l’ensemble de nos autorités, doit être traitée à un échelon interministériel. En effet, il ne s’agit pas tant d’un enjeu technique que d’une question d’usage. Nous avons évidemment un rôle à jouer en tant que directeurs du numérique mais avons besoin de soutien politique sur ces sujets.

M. Mathieu Weill. Le logiciel libre est, depuis longtemps, une option que nous privilégions dans de nombreux cas. Par construction, il répond à l’exigence de continuité – il n’y a pas de difficultés liées à la durée de validité d’une licence – et nous simplifie considérablement la tâche en matière de réversibilité. Ces logiciels ont été déployés assez largement. Nous avons même construit certains outils en logiciel libre pour pouvoir bénéficier d’un relais éventuel de la communauté sur plusieurs questions. J’ai évoqué SecDroid, qui est édité par l’Osiic. Je peux aussi citer l’ensemble des composants de notre usine logicielle, dite DevSecOps (développement, sécurité et opérations), que nous mettons à disposition en logiciel libre afin que d’autres ministères puissent s’en emparer et que cela puisse être déployé, par exemple, sur Nubo mais aussi sur des plateformes SecNumCloud. Nous assurons des sessions de formation et de certification relatives à cette solution de manière que l’ensemble de l’écosystème des prestataires soit capable de développer avec elle, afin de réduire les délais de livraison des projets. Ces délais sont l’une de nos principales préoccupations : il ne faut pas être trop long eu égard à la nécessité de répondre aux besoins d’évolution des politiques publiques.

En cette matière, il faut trouver un équilibre – cela rejoint la question des compétences. Ce n’est pas une doctrine absolue : il faut appliquer au logiciel libre le même type d’analyse et de réflexion que ceux que nous menons au sujet des solutions privées – et entretenir à son égard le même degré de dépendance, y compris économique. Nous avons de multiples exemples de solutions libres dont le cœur de l’équipe éditrice dépend en fait d’une société. Au début, le modèle économique de la société éditrice repose sur un logiciel libre avant qu’un nouvel investisseur n’arrive, et que la stratégie ne change : la version libre est alors réduite à peau de chagrin, les maintiens en conditions opérationnelles et de sécurité ou les fonctionnalités de grande valeur que l’on utilisait deviennent payantes. On sort alors brusquement du logiciel libre : la relation devient totalement asymétrique. Ce n’est donc pas parce que l’on a du logiciel libre aujourd’hui que l’on ne s’expose pas à un risque de dépendance à l’avenir. La composition du noyau dur des équipes de développeurs entre en ligne de compte, car elles peuvent être plus ou moins étroitement liées à des régimes étrangers – des cas existent.

Même au sein de l’État, nous avons eu des expériences difficiles. Dans le cadre de certains projets en logiciel libre, pensés comme des communs numériques, notre action a manqué de continuité, ce qui a créé beaucoup de difficultés. Au sein du ministère de l’intérieur, notre messagerie électronique est basée depuis longtemps sur des logiciels libres. Au cours de la période 2017-2019, nous avons fait le choix de nous appuyer sur la messagerie collaborative de l’État. Le projet était, à l’époque, soutenu par la Dinsic (direction interministérielle du numérique et du système d’information et de communication de l’État) – ça ne devait pas encore être la Dinum – et porté par nos collègues du ministère de la transition écologique – que je remercie, car ils ont continué à être d’un grand soutien. Nous pensions que nous allions nous inscrire dans une dynamique interministérielle. Puis, les priorités ont changé. Le ministère de la transition écologique a continué à nous soutenir mais, tout à coup, la Dinsic, la Dinum ont cessé de participer et d’autres projets ont été lancés – ils parlent, aujourd’hui, d’un autre système de messagerie. Nous étions pourtant engagés sur la voie de cette transition. J’estime que nos équipes ont perdu entre un an et demi et deux ans du fait du changement de stratégie. Il s’agissait de remplacer une messagerie obsolète, ce qui constituait une véritable préoccupation, tant au regard de l’expérience des agents et de l’attractivité qu’en matière de sécurité et de vulnérabilités.

Le fait d’utiliser un commun numérique n’est donc pas, en soi, une garantie suffisante : la démarche doit s’inscrire dans le cadre d’une stratégie, être accompagnée de moyens et être menée dans la durée. Il faut choisir ses combats parce que ces projets sont porteurs de nombreux risques. De même qu’un fournisseur peut faire faillite, un commun numérique qui n’est pas suivi dans la durée peut créer un problème de dépendance que l’on devra résoudre en urgence.

Les combats prioritaires doivent concerner, en premier lieu, les solutions collaboratives, la bureautique. À cet égard, nous disons à nos équipes que tout doit être dans notre système d’information métier et qu’il faut mettre le moins de choses possible, notamment d’éléments sensibles, dans les mails, mais, en réalité, tout s’échange de cette manière et est stocké dans des fichiers Word, Excel, Calc, Doc ou autres. L’information sensible est là, or comme un acteur est ultradominant sur le marché, il constitue un standard de fait. Il est donc indispensable d’offrir, à tout le moins, une solution alternative crédible, avec une bonne expérience utilisateur et qui ne soit pas une réplique exacte de ce que fait l’acteur dominant – sinon, ça ne fonctionnera pas car on sera toujours à la remorque. Faire émerger une autre solution crédible à l’échelle européenne – des projets existent – revêt une importance stratégique. Il faut investir collectivement dans ce chantier, qui est, à mes yeux, le combat prioritaire, et qui ne pourra sans doute être mené à bien qu’à l’échelle européenne.

Le deuxième combat est un peu plus prospectif, même si c’est déjà notre réalité au quotidien : je veux parler de l’intelligence artificielle. Il ne faut pas se rater en ce domaine car si nous connaissions, dans les différents segments de la chaîne de valeur de l’IA, une concentration aussi forte qu’elle l’est actuellement dans les secteurs des solutions collaboratives et des systèmes de bases de données, l’ampleur de nos difficultés et de notre dépendance s’en trouverait accrue. La construction d’une offre alternative constitue, là aussi, un enjeu majeur. Le secteur économique français est assez dynamique pour être au rendez-vous.

M. Yves Billon. La longue expérience que nous avons acquise en matière de logiciel libre nous montre qu’en premier lieu, il faut savoir travailler avec des communautés. Il importe qu’au sein des DSI, un certain nombre de personnes soient connues des communautés ou, mieux, soient référentes au sein de celles-ci.

Il faut tenir compte des difficultés du faux libre, c’est-à-dire du gratuit trop dépendant d’une entité. Cela concerne plusieurs sociétés, mais l’une, en particulier, dont le logo représente un chapeau rouge, nous pose des difficultés dans le domaine des systèmes d’exploitation des serveurs.

Il faut également intégrer les ruptures technologiques. Vers le milieu des années 2010, nous pensions que nous pourrions avoir la peau de Microsoft Office, mais Office 365 a introduit une rupture dans le domaine des services. Globalement, LibreOffice n’a pas suivi. On peut faire de la bureautique avec LibreOffice, mais on ne bénéficie pas de l’expérience utilisateur d’Office 365, de l’expérience cloud – il a fallu reconstruire beaucoup de choses derrière. On y a beaucoup perdu sur le plan fonctionnel ; les utilisateurs l’ont ressenti. Il y a quelques années, l’État pouvait être perçu comme un grand promoteur du logiciel libre, mais peut-être surtout en tant que passager clandestin. La question est de savoir comment on contribue activement, et éventuellement financièrement, au bon fonctionnement de la dynamique.

Un dernier point fondamental est que les logiciels libres ont besoin d’être adaptés avant d’être installés dans de grandes organisations. Je citerai le cas de la DGFIP. Cette direction, qui n’était pas dépendante de Microsoft, s’était vue enjoindre d’opérer une structuration plus profonde de son système d’information au moyen d’un équivalent à Active Directory. La solution était le logiciel libre Samba. Toutefois, Samba 4 n’était pas en mesure de gérer la complexité de l’organisation de la DGFIP. Des moyens ont donc été engagés pour adapter le logiciel à la gestion de cette direction. Nous nous sommes efforcés de mutualiser l’action à l’échelon interministériel. Nous avons perdu un an à un an et demi dans les négociations budgétaires pour trouver un accord interministériel, alors que le retour sur investissement était évident. La DGFIP considère qu’il lui reviendra toujours moins cher de constituer une équipe spécifique, spécialiste du produit et chargée de l’adapter, tandis que d’autres structures plus légères ont tendance à penser que le retour sur investissement n’est pas si évident que cela.

Nous travaillons sur ces pistes de mutualisation. La question est de savoir si la DGFIP peut rendre service à tout le monde, sachant qu’elle a, par ailleurs, un plan de charge non négligeable. Elle est confrontée à des difficultés internes – je pourrais reparler de la déclaration de revenus ! Il faut faire tourner le service. Le numérique ne se regarde pas le nombril : il est au service de l’ensemble des missions de l’État. Il doit donc être au rendez-vous des grandes échéances. On aimerait aller plus loin à certains moments mais on doit parfois temporiser sur un sujet ou un autre.

S’agissant des combats à mener, je reviendrai sur l’enjeu du développement économique. Il convient de développer une vraie filière. Nous voulons bien travailler sur des offres alternatives – pas forcément des logiciels libres – mais la question est de savoir qui porte la communauté dans le champ des missions régaliennes. On a parfois des retours de personnes qui nous disent qu’elles ne travaillent pas gratuitement et pas nécessairement sur nos missions. Nous faisons de la lutte contre la fraude, nous assumons des missions dans le domaine de la sécurité, ce qui n’est pas toujours porteur pour les développeurs présents dans ces communautés. Il faut déterminer quel est le moteur de la guerre sur le plan économique.

Certains cabinets ministériels sont très attentifs à la nécessité de redévelopper cette filière industrielle mais, aujourd’hui, nous avons surtout affaire à des PME. Nous ne voyons pas encore vraiment émerger le modèle qui nous permettra d’avoir des ETI (entreprise de taille intermédiaire) partenaires – sachant que lorsque les entreprises sont trop grandes, le combat redevient un peu inégal. Nous souhaiterions pouvoir travailler sereinement avec de vraies ETI, de 2 000 ou 3 000 salariés, dont le PDG connaît les enjeux et avec qui on peut discuter de l’organisation dans toutes ses dimensions. Le fait de travailler essentiellement avec des PME fragilise la relation de confiance. Nous avons eu quelques mauvaises expériences. Nous avions par exemple choisi un partenaire qui s’est révélé incapable d’assurer l’accompagnement de l’ensemble des ministères dans le cadre de la mise en place d’un courrielleur. Nous aimerions avoir des partenaires plus solides, ce qui renvoie à la question du développement industriel.

M. le président Philippe Latombe. Le règlement européen eIDAS 2, relatif à l’identité numérique, va arriver. C’est un projet très structurant pour le ministère de l’intérieur – puisqu’il touche au régalien – mais aussi pour la société dans son ensemble. Quand pensez-vous que nous aurons un débat au Parlement sur la question ? Afin d’éviter de reconstruire des dépendances, comment le ministère de l’intérieur gère-t-il un tel projet, qui émane de l’Union européenne, qui est basé sur des wallets localisés dans des systèmes d’information non européens et qui implique des certifications privées et publiques ainsi que des enrôlements différents ? Une des difficultés tient au fait que, si vous avez une part active dans la construction de ce projet, vous n’en avez pas la maîtrise totale.

M. Mathieu Weill. Le règlement eIDAS 2 (Electronic Identification And trust Services) est en effet en cours de mise en œuvre. Il va faire émerger un nouveau type de services – les portefeuilles électroniques – dont il organise l’interopérabilité à l’échelle européenne. Cela implique la reconnaissance à l’échelon national des portefeuilles électroniques, et notamment des identités numériques établies par d’autres pays européens, et réciproquement, pour nos concitoyens, la reconnaissance des services développés en France pour les démarches qu’ils effectuent en dehors de notre pays. C’est une véritable avancée, qui se traduira par des facilitations administratives considérables.

Le ministère de l’intérieur porte, auprès de France Titres, le programme « France identité numérique », qui concerne l’identité numérique régalienne. Cette offre de services émane d’un fournisseur d’identité de niveau élevé, qui permet de réaliser des démarches en bénéficiant du plus haut niveau de sécurité reconnu par l’Anssi. On pourra ainsi, notamment, dématérialiser complètement la procuration de vote. C’est aussi un service qui peut être utilisé au quotidien : à titre d’exemple, ce service est un des fournisseurs d’identité de FranceConnect. Pour se connecter au service public en ligne, on peut utiliser France identité numérique, qui est l’application compagnon de la carte nationale d’identité électronique. Il faut être titulaire de cette carte d’identité dont le format est celui d’une carte de crédit. Je rappelle qu’on peut demander le changement de sa carte nationale d’identité pour ce motif, en mairie.

Les enjeux sous-jacents à ce développement ressortissent, d’une part, au champ régalien et à la vie citoyenne, d’autre part, à l’écosystème. La question est de savoir pour quelles démarches on accepte des fournisseurs d’identité distincts de l’identité numérique régalienne, qui peuvent être des sociétés reconnues par FranceConnect+ – ce qui garantit une plus grande sécurisation de l’accès aux services publics, comme la sécurité sociale, par exemple. Il existe un écosystème de fournisseurs qui sont reconnus comme étant de niveau non pas élevé mais substantiel, parmi lesquels on trouve La Poste ou des PME comme ID Trust. France identité a également la capacité d’y répondre.

L’enjeu est de structurer cet écosystème face à une concurrence émanant principalement des grands fournisseurs de systèmes d’exploitation mobiles, qui se sont naturellement positionnés sur ce secteur. Ces fournisseurs ne font pas payer leurs services, que ce soit aux citoyens ou au secteur privé, lequel a également besoin d’identification au titre, par exemple, de ses obligations dites de KYC (Know Your Customer), qui sont de plus en plus présentes dans les régulations numériques. Les banques, pour ne citer qu’elles, ont aussi des besoins d’identification. Google et Apple, qui sont les principaux fournisseurs d’OS (systèmes d’exploitation) mobiles, ne facturent pas leurs services car ils s’appuient sur ceux-ci pour améliorer leur connaissance des clients et leurs services – bien sûr purement dans un esprit d’intérêt général ! L’enjeu est là, dans l’équilibre à trouver entre secteur privé et secteur public, sachant que, si les outils du secteur public, régalien, sont utilisés à des fins exclusivement régaliennes, on n’y recourra pas au quotidien et, in fine, on ne saura plus les utiliser – car ils sont trop lourds.

Nous plaidons donc pour que France identité numérique participe aux services commerciaux. C’est un débat qui a lieu actuellement à l’échelon interministériel. La direction générale des entreprises a en effet lancé ce week-end une consultation publique sur la stratégie interministérielle d’identité numérique, dont l’élaboration relève de la direction interministérielle du numérique, qui opère aussi FranceConnect, et à laquelle le ministère de l’intérieur contribue.

France Titres est très active, à l’échelon européen, dans les programmes qui construisent le portefeuille numérique de demain. Financé par la Commission européenne, le programme Aptitude, qui réunit une quinzaine de pays, ainsi que des acteurs privés et publics, a pour objet de construire les usages à venir dans des secteurs tels que le transport aérien ou le commerce, au-delà du régalien. En effet, c’est en étant partie prenante de ces écosystèmes que nous préserverons notre capacité à disposer d’options qui nous protègent de la dépendance. Au sein d’un programme comme celui-là, nous sommes évidemment attentifs aux dépendances sous-jacentes, aux briques technologiques, aux PME sur lesquelles nous nous appuyons pour la technologie. Nous débattons du bon équilibre entre le public et le privé pour que, demain, nous soyons libres de nos choix en matière d’identité numérique et non pas dépendants des acteurs dominants qui souhaitent s’imposer dans ce secteur.

Mme Cyrielle Chatelain, rapporteure. Nous aurions intérêt à débattre, nous aussi, de l’identité numérique, qui est un sujet régalien. Si cette question a des implications industrielles et a partie liée à la stratégie dans le domaine numérique, elle est également porteuse d’enjeux liés à la souveraineté, à la protection des données personnelles, à l’extension de monopoles existants – qui prétendent améliorer l’expérience client en accaparant une quantité de données colossale.

Monsieur Weill, lorsque vous parliez d’une alternative, à l’échelle européenne, sur les suites Office, pensiez-vous à OpenBuro, par exemple ?

M. Mathieu Weill. Il existe plusieurs options. Je pensais à un projet Edic (Consortium européen pour une infrastructure numérique) qui se lance sur les solutions collaboratives, avec une participation active de la France – un directeur général de grande qualité a été nommé récemment. Il existe des solutions européennes, comme Nextcloud, qui a été évoqué par M. Le Baron, sur laquelle nous allons mener quelques expérimentations.

Un débat impliquant différents éditeurs a lieu actuellement sur les licences. Je n’en suis pas encore au stade du choix mais ce qui est certain, c’est que nous devrions nous organiser pour remettre un peu le pied dans ce secteur.

Mme Cyrielle Chatelain, rapporteure. Dans le domaine du renseignement, le choix de Palantir par la DGSI (direction générale de la sécurité intérieure) soulève des interrogations. Comment évaluez-vous notre niveau de dépendance ? Celui-ci recouvre, à mes yeux, un double aspect. D’une part, il faut préserver la donnée, garantir, dans la mesure du possible, une certaine étanchéité. D’autre part, je comprends que Palantir offre la capacité de traiter un nombre colossal de données de manière sans doute très fine – car l’entreprise s’impose dans de nombreux marchés. Dans la mesure où il s’agit d’une solution propriétaire, j’imagine qu’il n’y a pas de transparence sur l’algorithme utilisé, ce qui signifie que le traitement de la donnée est opéré par un algorithme complètement contrôlé par cette entreprise. En fonction de la manière dont les données sont triées et analysées, Palantir impose donc une certaine vision du monde. Cela constitue un des volets de la dépendance, à plus forte raison dans le domaine du renseignement, où l’analyse de l’information est un élément clé de la décision.

Par ailleurs, on assiste au développement de l’advertising intelligence, qui implique notamment l’intervention de courtiers en données. On voit se déployer un marché de la captation de données de géolocalisation par des applications via des marchés publicitaires. Un nombre croissant de sociétés achètent ces données pour les revendre à des services de renseignement. Le ministère de l’intérieur achète-t-il des solutions d’advertising intelligence ?

M. Mathieu Weill. Je dirai, en préambule, qu’il y a des informations classifiées auxquelles je n’ai pas accès. Je répondrai donc en l’état de mes connaissances et de mon droit à en connaître.

Le choix de Palantir est un cas très intéressant, à mon sens, pour les travaux de votre commission. En effet, l’administration mène un effort important sur ce dossier depuis plusieurs années. Le choix de Palantir s’est imposé en 2016, juste après les attentats de 2015, pour rehausser la performance de notre lutte contre le terrorisme. L’outil permet de se brancher sur une très grande variété de données, de créer et de rendre visibles des liens, qui sont des éléments utiles pour les missions de ce type. Il faut être très clair sur le fait que cet outil est hébergé dans nos infrastructures : Palantir n’a donc, à aucun moment, accès aux données. Les équipes de Palantir sont sollicitées par les équipes du ministère de l’intérieur pour affiner les algorithmes. Les agents du ministère acquièrent petit à petit de l’autonomie pour développer leurs algorithmes sur l’outil, qui est très plastique et a la capacité de s’adapter à une très grande variété de situations. L’entreprise a d’ailleurs remporté de nombreux marchés, même si elle n’est plus seule dans son secteur.

À partir de 2019, la DGSI a décidé de se désensibiliser vis-à-vis de Palantir et de coconstruire une solution alternative, car il n’existait à l’époque aucune offre sur étagère capable de faire exactement la même chose. L’approche retenue, à partir de 2021, est un partenariat d’innovation. Cette catégorie de marché public est très intéressante en ce qu’elle permet de mettre en concurrence, au cours d’étapes successives, les acteurs du secteur privé pour remplir certains besoins fonctionnels. Le processus est quasiment achevé : le premier lot a déjà été attribué et le second est en cours de finalisation. Ce projet, nommé OTDH (outil de traitement des données hétérogènes), est quasiment une coconstruction entre l’administration et le secteur privé. Il y avait beaucoup de monde sur la ligne de départ ; on a réduit petit à petit le choix, jusqu’à arriver à une seule solution. Le ministère acquerra une licence libératoire, qui pourra être mise à disposition pour d’autres usages.

En effet, ce type de traitement de données hétérogènes peut être utilisé dans de nombreux cas de figure pour opérer des traitements de données très variés. Il concerne d’abord le monde de la police et de la gendarmerie, mais peut aussi intéresser nos collègues des douanes, ceux qui s’occupent des données relatives aux voyages, etc. Il peut y avoir beaucoup d’autres usages sur des applications métiers différentes. C’est une brique technique, exactement comme la brique de gestion de base de données, qui peut être mise à disposition d’autres personnes.

Cette démarche de sortie et de désensibilisation a été relativement longue, ce qui explique que le contrat avec Palantir ait été renouvelé récemment afin de garantir la continuité des opérations. Dès que le nouveau produit atteindra le niveau suffisant, qu’il aura été sélectionné et décliné dans le contexte métier spécifique de la lutte contre le terrorisme – pour ne citer que cet exemple –, il aura vocation à remplacer l’outil de Palantir. L’échelle de temps est particulièrement longue car il s’agit d’un projet complexe et d’une mission particulièrement critique du point de vue opérationnel. Les exigences de qualité des opérateurs et du service utilisateur sont très fortes : il ne s’agit pas de laisser passer 20 % des données que l’on captait jusqu’à présent ! Ce projet révèle la capacité de l’administration à travailler avec un écosystème privé pour construire une offre alternative.

M. le président Philippe Latombe. Le ministère des armées employait un outil équivalent – Artemis (architecture de traitement et d’exploitation massive de l’information multisources) – qui n’a pas été retenu par la DGSI. En 2019, la question de cette mutualisation se posait aussi.

M. Mathieu Weill. Je n’étais pas dans les circuits à ce moment-là. En tout état de cause, les débats sur le niveau technique des offres respectives étaient classifiés. Personne n’y a vraiment eu accès. Je ne sais pas.

S’agissant de l’advertising intelligence, je n’ai aucune connaissance de l’existence de l’utilisation de solutions de ce type au sein du ministère de l’intérieur, quels que soient les usages. Voilà ce que je peux dire en l’état de mes connaissances.

Mme Cyrielle Chatelain, rapporteure. Monsieur Le Baron, vous avez beaucoup cité les communs numériques, des outils pédagogiques mis à disposition de la communauté éducative. S’en saisit-elle et, le cas échéant, comment ? Quels sont les retours ? J’ai cru comprendre qu’ils avaient vocation à se diffuser.

Par ailleurs, la French Tech a développé des EdTech (technologies éducatives). Ces applications ont-elles été achetées par le ministère de l’éducation nationale et, le cas échéant, à quel niveau ? Quel est leur degré d’utilisation ?

Ma dernière question concerne Virtuo, le système d’information de gestion des ressources humaines (Sirh) du ministère. Ayant vocation à traiter les données personnelles des agents, il revêt un enjeu de confidentialité et de souveraineté. D’après un rapport de la Cour des comptes, deux opérateurs avaient répondu à l’appel d’offres. Or la solution retenue n’est pas certifiée SecNumCloud. Comme le note la Cour des comptes, la Cnil (Commission nationale de l’informatique et des libertés) a d’ailleurs souligné que « les technologies de chiffrement ne garantissaient pas que les données soient rendues inaccessibles au prestataire d’hébergement », les équipes de Virtuo pouvant accéder à distance aux données brutes des agents.

L’autre offre, qui justifiait de la qualification SecNumCloud, semble ne pas avoir été analysée au motif qu’elle excédait le montant du marché. À quel point ? Pouvez-vous nous donner une échelle ? On sait que la certification SecNumCloud impose le respect d’un certain nombre de prescriptions, ce qui engendre des surcoûts. Compte tenu de l’issue de l’appel d’offres, le marché était-il bien calibré au regard de cette demande de certification ?

Je sais que, depuis, les préconisations ont évolué, mais le risque reste présent. C’est un projet d’ampleur, mais cherchez-vous une autre solution pour mieux protéger les données ?

M. Audran Le Baron. Les communs numériques et les EdTech sont deux approches en tension, que nous cherchons d’ailleurs à diminuer car il nous semble y avoir une voie commune.

Ces dernières années, nous avons progressivement déployé notre vaisseau amiral en matière de communs numériques : la plateforme Moodle nationale baptisée Éléa. Depuis la rentrée dernière, l’ensemble du territoire est désormais couvert. Ce déploiement s’est accompagné d’un effort non négligeable de formations en cascade dans l’ensemble des territoires. Nous avons constaté une prise en main rapide de l’outil, même si les territoires s’en saisissent plus ou moins selon leur ENT, l’environnement numérique de travail proposé par les collectivités territoriales, car certains embarquaient déjà des fonctionnalités comme celles proposées par Éléa. Et pour en revenir aux tensions, la plateforme, par exemple, propose globalement le même type d’activités pédagogiques que la technologie française Pearltrees Education.

Quoi qu’il en soit, l’utilisation des communs numériques développés par le ministère croît assez rapidement. De nombreuses communautés d’enseignants se créent autour de cet outil, qui leur permet de produire leurs propres ressources, de les mettre à disposition de leurs élèves, mais aussi de les partager avec d’autres enseignants, voire de cocréer des ressources avec eux. C’est ce que nous appelons le réseau des concepteurs.

Ces communs institutionnels sont soutenus par ceux de la « multitude », pour reprendre l’expression d’Henri Verdier, c’est-à-dire l’ensemble des enseignants qui proposent spontanément, à titre individuel ou en petits groupes, un certain nombre de services numériques pédagogiques. C’est là qu’intervient la Forge des communs numériques éducatifs : elle leur permet de se rassembler, de se « reconnaître », de faire communauté, car souvent les communs sont une communauté de « un ». L’enjeu est que les communs dont l’usage croît soient soutenus par une communauté pour se développer et survivre à leurs concepteurs originels.

En la matière, l’un de nos champions, notre pépite, c’est MathALÉA. En accès libre depuis votre moteur de recherche préféré, ce commun génère de façon aléatoire mais guidée des exercices de mathématiques suivant l’intégralité des programmes scolaires officiels de l’élémentaire au lycée. Très utilisé par les professeurs de mathématiques et les parents soucieux de suivre la progression de leur enfant, il est soutenu par une communauté d’une cinquantaine d’enseignants, qui contribuent quotidiennement à le faire évoluer. Je n’ai plus le nombre d’utilisateurs en tête, mais c’est un des logiciels numériques pédagogiques les plus utilisés en France. Car commun numérique ne signifie pas usage confidentiel. À cet égard, je vous renvoie vers le site que nous avons récemment mis en ligne, la Ressourcerie de la Forge, qui éditorialise un certain nombre d’offres de communs présents dans la Forge et qui fournit de nombreuses données et statistiques relatives à leur audience, ce qui permet de voir lesquels sont les plus utilisés.

En ce qui concerne les EdTech, il y a eu une politique interministérielle volontariste portée par la DGE, le secrétariat général pour l’investissement (SGPI) et le ministère de l’éducation nationale, pour créer un écosystème d’entreprises françaises privées en pointe en matière de numérique, au service de l’éducation et de la pédagogie. Pour l’heure, il est principalement constitué de petites start-up relativement fragiles d’un point de vue économique, mais offrant des services à l’état de l’art – voire en pointe –, qui rivalisent avec les autres offres, y compris à l’échelle internationale. Néanmoins, nous sommes confrontés à un problème budgétaire. Le modèle tarifaire des éditeurs privés, dont nous avons contribué à faire naître l’offre grâce à des Piia (partenariats d’innovation en intelligence artificielle) – nous avons de nombreux marchés publics innovants à cette fin –, est généralement fondé sur un abonnement annuel. Or, avec 900 000 professeurs, les chiffres ont tendance à monter très vite.

Cela nous a incités à étudier la mise en place d’un compte ressources, comme cela existe dans la filière industrielle de la tech : chaque enseignant ou chaque établissement disposerait d’un portefeuille électronique annuel pour acheter les EdTech qu’il souhaite. Mais on parle d’une centaine, voire de plusieurs centaines de millions d’euros annuels. Le projet s’est donc heurté au contexte des finances publiques. Aujourd’hui, nous avons du mal à pérenniser et généraliser l’usage d’outils que nous avons contribué à faire naître grâce à la commande et à l’investissement publics. Si les expérimentations, notamment celles menées dans le cadre des partenariats d’innovation, ont montré qu’il existait des usages, l’honnêteté me commande de préciser qu’ils ne sont pas massifs, ce qui n’a pas contribué à précipiter une décision positive sur la suite du compte ressources.

Nous travaillons avec la filière EdTech pour identifier les ponts que nous pourrions créer entre les communs numériques et le modèle d’affaires de ces sociétés. Le partenariat d’innovation aboutissant à une licence libératoire, que Mathieu Weill a évoqué tout à l’heure, est l’une des pistes que nous souhaitons explorer. Nous avons déjà quelques expériences ponctuelles d’acquisition d’une solution propriétaire devenue un commun numérique, mais chaque modèle d’affaires, chaque outil, chaque positionnement est différent et doit faire l’objet d’études avec l’éditeur concerné. C’est vraiment de la dentelle, mais, en lien avec le SGPI, nous essayons de trouver comment concilier le contexte budgétaire, la nécessaire pérennité des usages et le modèle d’affaires de ces entreprises – ce n’est pas loin d’être la quadrature du cercle.

En ce qui concerne Virtuo, je n’ai pas une connaissance détaillée du sujet : les Sirh relèvent du service de modernisation des systèmes d’information des ressources humaines pour l’éducation (Semsirh). À ma connaissance, une première consultation, qui avait abouti à deux offres, a été déclarée infructueuse. L’une des offres, états-unienne, proposait une solution disposant des labels de cloud les plus sécurisés d’Europe – notamment les labels allemand et espagnol –, mais pas de la certification SecNumCloud, qui impose des exigences en matière de nationalité des capitaux auxquelles l’entreprise ne pouvait satisfaire. L’autre offre, qui était probablement conforme à la certification SecNumCloud, émanait d’une société française, mais dont une partie du capital – je ne saurais dire combien – avait été rachetée par un fonds étranger. Je ne peux pas vous en dire davantage concernant le montant des offres. En tout état de cause, en termes de couverture fonctionnelle, cette deuxième offre était, sur le papier, très en deçà de celle de l’autre soumissionnaire.

Après des échanges avec la Dinum, la Cnil et l’Anssi sur les questions de sécurité et de respect du RGPD, cet appel d’offres a donc été déclaré infructueux et un second a été lancé avec des conditions durcies en matière de souveraineté, de confidentialité des données, d’immunité au droit extra-européen et de sécurité. J’ignore combien de soumissionnaires ont répondu. En tout état de cause, après une analyse au plus haut niveau – le sujet a fait l’objet d’un avis de conformité de la Dinum au titre de l’article 3 du décret de 2019 et a été visé par la Cnil et l’Anssi –, il a été décidé, de façon concertée, de recourir à l’éditeur américain Salesforce, dont l’offre présentait des mesures de sécurité jugées suffisantes.

Je rappelle qu’afin de minimiser le nombre de données personnelles traitées par l’éditeur, un important travail de filtrage et de cisèlement a été mené pour déterminer quelles pouvaient ou non être stockées sur le cloud de l’éditeur, ou y transiter de manière transitoire avant d’être effacées une fois traitées. Voilà ce que je peux vous dire. Nous sommes tous disposés à vous répondre plus précisément ; au besoin, je me tournerai vers mon collègue Stéphane Trainel, à la tête du Semsirh.

M. le président Philippe Latombe. Merci d’être venus répondre à nos questions. N’hésitez pas à nous transmettre tout complément d’information.

La séance s’achève à treize heures.

———

Membres présents ou excusés

Présents. – Mme Cyrielle Chatelain, M. Philippe Latombe

Excusés. – Mme Isabelle Rauch, M. Alexandre Sabatou