Philippe Latombe : Bonjour à tous. La séance est ouverte.
Mes chères collègues, nous débutons aujourd’hui les auditions de la commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France. Lors de cette commission d’enquête, nous cherchons à mesurer la vulnérabilité des administrations publiques vis-à-vis de technologies et d’infrastructures digitales développées ou opérées par des acteurs extra-européens, ainsi que la vulnérabilité des données que ces administrations conservent. Il s’agit aussi d’évaluer la dépendance de notre pays à des technologies et services fournis par un nombre très réduit d’entreprises, et d’examiner dans quelle mesure des solutions françaises ou européennes peuvent constituer des alternatives, et à quelles conditions.

Pour notre première audition, je souhaite la bienvenue à Monsieur Henri Verdier, directeur général de la Fondation Inria [1] [Institut national de recherche en sciences et technologies du numérique] et ancien ambassadeur pour le numérique.
Monsieur Verdier, je vous remercie d’avoir répondu à notre invitation dans un délai aussi court. Je vais vous passer la parole pour une courte intervention liminaire qui précédera notre échange sous forme de questions et de réponses. Je vous remercie de nous déclarer tout autre intérêt public ou privé de nature à influencer vos déclarations. Auparavant, je vous rappelle que l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter serment, de dire la vérité, toute la vérité, rien que la vérité. Je vous invite, Monsieur, à lever la main droite et à dire « je le jure ».

Henri Verdier : Je le jure.

Philippe Latombe : Merci. Je vous laisse la parole pour une intervention liminaire.

Henri Verdier : Merci beaucoup d’abord de lancer cette commission, parce que je crois qu’on va parler d’un sujet majeur, peut-être le plus grand sujet numérique de la décennie qui commence, et de m’inviter à prendre la parole devant vous, à la fois en tant qu’ancien ambassadeur pour les affaires numériques, en tant qu’ancien directeur de ce qui est devenu la DINUM [Direction interministérielle du numérique] [2] aujourd’hui, qui s’appelait la DINSIC [Direction interministérielle du numérique et du système d’information et de communication de l’État] à l’époque, où j’ai lancé certaines trajectoires qui continuent et qui se développent, et en tant qu’actuel directeur de la Fondation Inria. Je précise juste que je ne parle pas au nom d’Inria que j’espère, vous rencontrerez, pour parler de recherche et de prospective. Je précise, puisque vous le demandez, que je n’ai absolument aucun autre intérêt, que mon seul emploi et mon seul intérêt sont la Fondation Inria, ce qui n’est pas étonnant puisque j’étais détenteur de l’autorité publique jusqu’à il y a trois mois et la loi m’aurait interdit toute autre forme d’engagement.
Je vais faire un petit propos liminaire qui est déjà une première série de réponses aux questions que vous avez bien voulu me transmettre. Je répondrai au fil de l’eau aux questions suivantes, qui appellent des approfondissements.

Comme je le disais, vous touchez à un sujet d’une importance majeure et, pour tout dire, je ne comprends pas que les gens ne le comprennent pas. On a tout sous les yeux ! On a l’affaire du juge Guillou [3], on a des preuves d’espionnage, on a des trucs qui se font débrancher, on a des dominations sur des segments entiers de l’économie, on a des réseaux sociaux qu’on n’arrive pas à réguler, on le voit et pourtant ça ne bouge pas beaucoup !

Votre première question portait sur la dépendance en achats logiciels. Élargissons ! Notre dépendance est bien plus large que cela :

• elle touche le hardware – nous n’avons plus la capacité à produire du hardware ;
• elle touche nos capacités cyber, nous sommes quand même des années derrière la NSA, même si nous sommes plutôt un bon pays en cybersécurité, mais il y a des pays dont on n’est pas capable de prédire ce qu’ils sont capables de faire ;
• elle touche des infrastructures critiques. Nous nous sommes tous réveillés un peu surpris, il y a cinq/six ans, en découvrant que 80 % des nouveaux câbles sous-marins sont posés par les GAFAM, ce qui est une sorte de privatisation d’infrastructures physiques elles-mêmes ;
• on oublie parfois qu’une grosse partie de notre économie repose sur des données qui nous semblent aller sans dire, par exemple la géodésie pour savoir la hauteur du Mont Blanc ou la hauteur des marées, qui, en fait, repose sur une infrastructure américaine qui n’est plus financée depuis une bonne décennie, qui va s’effondrer un jour ou l’autre ;
• on a les grands services d’accès à l’information : les réseaux sociaux, les moteurs de recherche, tous ces acteurs que les textes européens appellent parfois acteurs systémiques ou gatekeepers.

La domination va donc bien au-delà de la part d’achats logiciels par nos entreprises et nos administrations. C’est grave. Cela introduit une domination économique, déjà une évasion de valeur puisqu’on achète à l’extérieur, mais c’est le moins grave, une espèce de domination sur les chaînes de valeur, à laquelle nous ne prêtons pas assez attention.
Je ne sais pas si vous vous souvenez du rapport fait par l’Anses [Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail], il y a six mois, sur la condition des livreurs Deliveroo qui nous montrait des gens dont la vie était en train de devenir infernale, ils ne rencontraient plus jamais ni un collègue, ni un supérieur hiérarchique, ils recevaient toute la journée des stimulus de data disant « plus vite, plus à droite, plus à gauche » et dont le salaire horaire avait diminué de 35 % en deux ans. En fait, nous sommes tous en passe de devenir des chauffeurs Deliveroo ! À partir du moment où le numérique, l’IA, les infrastructures critiques s’interposent au cœur des chaînes de valeur, elles les rééditent à leur profit. De ce fait, je pense qu’un certain nombre d’entreprises françaises sont en passe de devenir des espèces de sous-traitants d’industries dont la valeur ajoutée est dans le numérique ou dans l’IA et qui vont rééditer les tarifs à leur profit.

Cet effet de domination impose des standards technologiques, impose des standards idéologiques. On pourrait noter, par exemple, que l’Europe a beaucoup de mal à s’inventer un chemin pour l’intelligence artificielle qui ne soit pas juste une course au gigantisme et à sortir de l’idée qu’il y aura fatalement une ou deux gigantesques IA avec des milliers de milliards de points utilisant de gigantesques datacenters, alors que la Chine, l’Inde et beaucoup de chercheurs européens pensent que ce n’est pas l’avenir de l’IA, mais on a une espèce de domination idéologique.
Il faut quand même rappeler, je n’y reviendrai pas sauf s’il y a des questions, que cela nous rend très vulnérables à l’espionnage qui est systématique. De la part des États-Unis, c’est assis sur un cadre juridique qui autorise les administrations américaines à accéder aux données sous juridiction américaine. De la part de la Chine, c’est un sport national. Cela nous rend extrêmement vulnérables en cas de conflits, cela nous rend vulnérables à des opérations de manipulation de l’information. Et puis, et je termine, cela nous rend extrêmement fragiles à des mesures de rétorsion ou de représailles et l’affaire du juge Guillou en constitue peut-être l’exemple le plus patent. Un juge français, de la Cour pénale internationale, qui fait son travail qui n’a pas l’heure de plaire au président Trump qui, sur une décision absolument unilatérale, sans passer devant la justice, prend un executive order, frappe le juge de sanctions qui avaient été inventées pour Daech. Donc ce monsieur, et sa famille aussi, n’a plus le droit d’utiliser ce qui passe par des infrastructures américaines, du paiement américain. En une nuit, il a perdu l’accès à Uber, Amazon, Netflix, Deliveroo, tout ce que vous voulez, et même à certains services français, parce qu’il y a toujours, à un moment, un bout de la chaîne logistique ou un paiement qui passe par PayPal et cela sur une décision absolument arbitraire et unilatérale. Il n’y a pas que le juge Guillou, il y a une demi-douzaine de juges de la CPI, il y a plusieurs fonctionnaires de l’ONU.
Je rappelle que le juge Guillou signale que l’Europe avait une possibilité, un instrument de blocage qui n’a jamais été activé, et qu’on pourrait demander au moins aux entreprises européennes de ne pas faire de sur-compliance, de ne pas céder à ces injonctions.
Donc la situation est grave.

Je fais cinq ou six remarques générales qui sont déjà des réponses directes aux questions qui m’ont été transmises.

La première, après le tableau que je viens de dresser à grands traits, je voudrais vraiment insister sur le fait qu’il faut distinguer les sujets dans la discussion. Il n’y a pas UN problème de vulnérabilité, de dépendance ou de souveraineté. Ce n’est pas forcément la même chose dans les réseaux sociaux, dans le hardware, l’accès aux terres rares, les câbles, l’industrie ou l’administration. Et, bien sûr, il n’y a pas une seule solution.

Si je puis me permettre, l’exemple du cloud est tellement clair qu’il sur-pondère un peu le débat public. Concernant le cloud, il y a quelque chose d’agaçant : on a des entreprises françaises qui ont le niveau technique mondial, qui, en revanche, n’arrivent pas à avoir les démarches marketing de leurs concurrents américains. On sent bien qu’avec un peu d’affirmative action et d’achats publics on pourrait faire des progrès substantiels. Ce n’est pas aussi simple, pour des tas d’autres sujets comme l’IA ou les réseaux sociaux ; il y a des endroits où c’est moins simple.

Deuxièmement, je voudrais dire qu’il n’y a pas d’indépendance absolue, les Américains non plus n’ont pas d’indépendance absolue et on l’a bien vu. Quand ils ont voulu augmenter les tarifs à la Chine, la Chine leur a répondu « vous allez payer les terres rares très cher », et ça s’est arrêté en trois semaines. Tout le monde est en dépendance. La vraie question c’est d’être en équilibre des rapports de force, afin de ne pas être traités comme quantité marginale et là on n’y est pas. Il s’agit de construire une posture, une position d’autonomie stratégique qui n’est pas forcément de l’autarcie absolue ou des filières uniquement franco-françaises ou européennes. En tout cas, il faut rééquilibrer les rapports de force pour pouvoir parler d’égal à égal, pour qu’on ne puisse pas nous imposer des choses que nous ne voulons pas faire.

Pour cela, c’est mon troisième point, je voudrais insister sur la diversité des approches pour avoir cette espèce d’autonomie stratégique et rappeler, on l’oublie parfois, qu’avoir un vrai marché loyalement concurrentiel c’est une forme d’autonomie raisonnable. Si une centaine de fournisseurs se battent loyalement pour avoir le meilleur prix, essayent de faire la meilleure offre pour remporter le marché, c’est une forme raisonnable de souveraineté. Ça commence à devenir embêtant quand les marchés deviennent monopolistiques, quand ils sont biaisés par des enjeux politiques, quand ils ont des business modèles de prédation. Rappelons que parfois la diversité et la concurrence contribuent à une forme d’autonomie.

L’intégration verticale nationale peut aussi être une réponse, on le voit dans les industries de défense.

Je rappelle quand même que pour certains secteurs, je vais être méchant, troquer un monopole américain un peu sociopathe, en tout cas qui s’assume comme adversaire de la démocratie, par son équivalent français n’améliorerait pas beaucoup la situation démocratique pour autant ni la liberté du marché. Parfois c’est vraiment la réponse, parfois il faut quand même garder des postures anti-monopolistiques, régulatoires. Il ne suffit pas de changer la nationalité du tyran pour dire que tout est réglé.

J’observe en Inde, peut-être qu’on y reviendra, une approche extrêmement intéressante dans ce qu’ils appellent les infrastructures publiques numériques, une forme de version réussie de ce que j’appelais, il y a quelques années, l’État plateforme. Par exemple, sur le paiement, l’État régule le fait qu’il y a des API [Application Programming Interface] de paiement gratuites, que toutes les banques sont obligées d’implémenter et de traiter. On laisse ensuite les entreprises prospérer, il y a plus de 600 services de paiement en concurrence. Google a quand même une part de marché majoritaire, mais Google ne possède pas les données, ne contrôle pas l’infrastructure, ne peut pas débrancher les autres. Donc les Indiens se sentent plus raisonnablement en sécurité parce que le marché « marchète », si je puis dire, mais dans des infrastructures sous contrôle public. Et ces infrastructures, on y reviendra si ça vous intéresse, ne sont pas onéreuses. C’est du design d’API, il n’y a pas des gros serveurs, des gros datacenters, ce sont des infrastructures logiques.

Je voudrais aussi rappeler, parce que c’est parfois l’oublié du sujet, je crois à l’existence des communs, des logiciels libres, des standards ouverts, des grands communs de données comme OpenStreetMap [4] ou Wikipédia, qui font partie d’un arsenal de souveraineté. Cela ne nous donne pas le contrôle de la situation, mais ça empêche que quiconque le prenne. Ça peut être des stratégies défensives, ça peut être des stratégies très européennes parce que nous savons faire des standards ouverts, la France a fait le système métrique il y a déjà 250 ans. Ces stratégies nous permettent d’avoir des formes de coopération avec les économies émergentes qui sont en train d’observer si on essaye de les capturer à nouveau et qui peuvent voir qu’on arrive avec des codes ouverts et des standards adaptables.

Je voulais juste dire qu’il y a ces quatre chemins au moins, qu’il ne faut pas hésiter à se dire qu’on va devoir les jouer tous : il nous faut des startups, il nous faut des standards ouverts, il nous faut des régulations, etc.

Mon autre point. Je continue à penser que l’Europe est la maille critique pour construire cette espèce de souveraineté. J’ai reçu beaucoup de questions dans vos questions, du coup j’ai réfléchi parce qu’on voit bien ce qu’il peut y avoir de décevant, de lent, de divisé entre nous. En tout cas, pour la régulation je pense que oui pour au moins deux raisons :
d’abord, on avait quand même promis aux entreprises d’Europe qu’elles allaient sortir de la fragmentation de ce système de lois, de réglementations, etc., qu’elles auraient un marché unifié avec une régulation constante. Il ne faut pas revenir en arrière sur cela, cette fragmentation est aussi une des raisons de notre faiblesse structurelle, pas la seule ;
d’autre part, on est quand même un marché qui ne se boycotte pas. Vous vous souvenez par exemple de l’aventure qui a conduit à la directive copyright [5]. Quand la presse a commencé à dire « il faudrait qu’on nous rémunère un peu, il faudrait que des sites comme Google News payent des droits voisins puisque les gens ne vont plus jusqu’à notre journal, ils regardent la pub chez Google, il faut partager. » L’Espagne est le premier pays qui a essayé de faire ça et Google a juste coupé Google News en Espagne. Ensuite l’Allemagne a dit « moi j’y pense », Google a dit « attention, je vais couper Google News. » Six mois après la promulgation de la directive copyright, Google payait des droits voisins à la presse européenne.
En revanche, pour les stratégies de recherche, de réindustrialisation, d’innovation, etc., je pense, et c’est une position de principe, qu’on a tout à gagner à créer une espèce de dynamique européenne, mais on n’est pas obligé de tous s’aligner les uns sur les autres, d’attendre que tout le monde soit d’accord. Quand on regarde de près, la France a quand même souvent été en avance de phase, d’ailleurs soit par des textes législatifs ou réglementaires soit par des initiatives comme le Christchurch Call, l’appel de Paris [6]. Nous sommes aussi capable d’être un moteur de l’Europe.

J’ai aussi eu beaucoup de questions sur l’achat public et j’ai entendu l’écho des débats actuels sur la DINUM. Je vais dire plusieurs choses assez importantes.
La première. N’oublions pas une des raisons de l’impact de l’achat public aux États-Unis : leur complexe militaro-industriel, à la fin de la guerre froide, s’est reconverti en complexe numérique et que la dépense militaire américaine c’est 1 000 milliards de dollars, la nôtre, si je ne me trompe pas, c’est 2,6 milliards de dollars. Ils jouent quand même avec des ordres de grandeur, des masses financières et un écosystème de financement qui, de toute façon, n’est pas le même que le nôtre.

La deuxième chose que je voulais dire, puisque j’ai quand même entendu plusieurs choses qui m’ont semblé fausses. Moi qui ai été DINUM pendant six ans, quand ça s’appelait DINSIC, je ne sais pas qu’elle est la dépense informatique de l’État. Je connaissais le périmètre sur lequel j’avais autorité, le périmètre des DSI [Direction des systèmes d’information] ministérielles, mais il y a des tas de dépenses informatiques chez les opérateurs, dans des grandes infrastructures et je ne parle même pas des collectivités locales, parce que des services de communication font des sites web ou des petites applications, qui ne sont pas dans le périmètre de la DINUM et qui ne sont pas traitées dans la comptabilité nationale. Il n’y a pas de comptabilité analytique de l’État. Il y a peut-être là des progrès à faire parce que, honnêtement, on ne sait pas où part l’argent de l’informatique. Dans leur périmètre, les DSI ministériels s’occupent plutôt des gros SI d’infrastructure : les systèmes de paiement, la gestion de la paye la gestion des carrières, des mouvements nationaux des profs.
Je rappelle aussi cette fois-ci, pour « protéger », entre guillemets, mes successeurs, que la DINUM n’a pas autorité sur les DSI ministériels. Elle est chargée d’animer un réseau interministériel, elle peut édicter des cadres comme le Référentiel général de sécurité ou d’accessibilité, mais elle n’a pas autorité, elle ne contribue pas au recrutement ni au budget. Elle peut juste arrêter un projet de plus de huit millions d’euros s’il lui semble mal troussé. Huit millions d’euros, c’est déjà beaucoup d’argent. Je crois qu’on ne devrait jamais faire un projet de huit millions d’euros en informatique, mais c’est une autre histoire.

Dans ce périmètre des DSI ministérielles, l’État dépense à peu près quatre milliards par an : deux milliards pour des achats de licences Microsoft, SAP, Oracle, etc., c’est intéressant quand même ; deux milliards pour de gigantesques projets qui durent cinq, dix, parfois quinze ans, pour faire la paye des militaires, pour faire la gestion RH de l’Éducation nationale, des projets qu’on fait très mal. Je voulais rappeler que quatre milliards c’est très peu, c’est la moitié de ce que dépense la BNP en informatique, la BNP est connue pour être une des banques qui dépense le plus en informatique. Je lis ça comme le signe que l’État n’ose pas trop faire du numérique, parce qu’il ne sait pas ! En fait, il y a beaucoup de choses qu’on n’a pas vraiment numérisées parce qu’on y va avec crainte et tremblement, on sait qu’il faudra deux ans pour faire le marché public, trois ans pour le dépouiller, qu’ensuite il faudra cinq ans pour faire le projet, que, quand il sera terminé, il sera raté, donc on y va le moins possible, le plus tard possible et on n’a pas embrassé la révolution numérique parce qu’on n’ose pas.
Et puis, dans un coin, il y a la DINUM qui a un budget de 50 millions d’euros, qui fait plein de choses, qui a effectivement lancé le programme des startups d’État, dont je suis à l’origine, qu’elle essaye de pousser. Je voulais surtout réintroduire dans l’État des méthodes agiles, des data-driven policies, le développement qu’on appelle devops, des fonctions RH qui allaient chercher de la diversité culturelle et des profils rares et atypiques, parce que je considère, et je persiste et signe, que si on ne sait plus faire, on ne sait plus acheter. Et je pourrais raconter des dizaines d’exemples de factures qui étaient 20 fois trop chères parce qu’on avait acheté à l’aveugle. Je pourrais vous parler de DSI ministérielles de 1 000 personnes avec deux développeurs et tout le reste ce sont des acheteurs. Il y a sans doute un ratio concernant ce qu’on doit faire. D’ailleurs mon prédécesseur, qui s’appelait Jacques Marzin, pensait qu’il fallait un fonctionnaire pour trois développeurs en « créa » et un fonctionnaire pour cinq développeurs en « exe ». Je sais pas si c’est le bon ratio, mais, à un moment on ne peut pas se contenter d’acheter. J’ai vu des projets où on avait acheté les spécifications, puis le cahier des charges, puis l’accompagnement, la sélection du fournisseur, puis le prestataire, puis le test de recettes. L’État n’avait rien fait, du tout. À un moment, c’est un signe de la faiblesse de l’État et un problème aussi.

Ensuite, puisque la question m’est posée directement, je ne pense pas du tout que l’État ait vocation à opérer à la place du secteur privé dans des tas de secteurs. Par exemple, je crois qu’il n’a jamais été question que l’État devienne un opérateur de cloud, qui est une vraie industrie. Mais il y a des endroits où il faut savoir faire bouger les lignes. Par exemple, j’ai été à l’origine de Tchap [7], la messagerie instantanée réservée aux fonctionnaires puisqu’il faut un mail professionnel. Aujourd’hui, il y a 400 000 utilisateurs par semaine de Tchap ; il y a deux millions de fonctionnaires, mais tous n’ont pas besoin d’une messagerie, on peut donc considérer que c’est un succès raisonnable et ça coûte 11 centimes d’euro par an et par agent public.
À l’époque, quand j’étais DINSIC, la meilleure offre de marché qu’on m’avait faite c’était 20 euros par an et par agent public. Quand on a ces écarts-là de valeur, je crois qu’il faut être capable de dire « non, je vais prendre une autre stratégie, je vais donner de l’argent à une boîte de logiciel libre qui va améliorer son logiciel libre et puis on discutera. »
Je voulais partager cela aussi : il est évident que l’État a un rôle à jouer dans le dynamisme économique de la France, mais aider nos entreprises, et j’ai créé trois entreprises dans ma vie, c’est les aider à réussir dans la compétition internationale, ce n’est pas les mettre dans une espèce de bulle où il n’y a plus du tout de compétition internationale, où il y a des tarifs qui sont à des années-lumière des prix de marché et elles ne trouveront jamais un deuxième client parce que c’est 20 fois trop cher. L’exemple que je vous donne est un peu malhonnête : je vous ai dit qu’il y a dix ans, la meilleure offre qu’on m’avait faite c’était 20 euros par an et par agent public et aujourd’hui, après dix ans, c’est absolument lisse, etc., c’est 11 centimes d’euros, mais il y avait bien un facteur 10 quand même.
Voilà quelques bricoles que je voulais partager avec vous sur ces questions de l’achat public, on pourra y revenir.

Pour finir, je voulais dire que j’ai l’impression, et peut-être qu’on peut y faire quelque chose, que le cœur du problème est d’abord culturel. J’espère que vous auditionnerez un jour Guillaume Poupard [8] qui a quand même été sept ans directeur technique de la DGSE et dix ans directeur de l’ANSSI [Agence nationale de la sécurité des systèmes d’information]. Il me racontait une conversation avec un patron du CAC 40, à qui il disait « tu ne devrais pas mettre tes données chez Amazon Web Services, tu te fais espionner » et qui lui répond « tu n’as pas de preuves », à quelqu’un qui a été sept ans directeur technique de la DGSE et dix ans directeur général de l’ANSSI.
Il y a une espèce de culture qui considère que le numérique est une espèce de fonction support vaguement ingrate, comme l’immobilier et la cantine, alors que ce sont des fonctions éminemment stratégiques, qui devraient avoir une place au comex [comité exécutif], qui doivent participer, et dans l’État, avoir des directeurs d’administration centrale instruisant le ministre de décisions stratégiques. C’est une espèce de culture de beaucoup de DSI, dans le privé comme dans le public, qui ne sont que des acheteurs de solutions, qui ne sauraient pas coder. Quand vous leur dites « là il y a une alternative libre et beaucoup plus sécurisée à une solution qui te coûte deux millions par an et qui amène 70 % des attaques cyber » ils ne savent pas faire, ils n’osent pas prendre le risque, etc.

Probablement qu’un travail de pédagogie, de sensibilisation est nécessaire sur le fait qu’un autre monde numérique est possible, pas seulement pour dénoncer la dépendance ou l’inaction de l’État, pour dire que c’est possible, qu’il y a des tas d’alternatives que des tas de gens ont déployées. Ce n’est pas toujours si cher, ça demande juste de travailler autrement, de staffer vos équipes autrement, de vous allier avec certains écosystèmes, de trouver des nouvelles logiques de partenariat, et c’est vital.
J’espère je n’ai pas été trop long et je suis à votre disposition pour toute question que vous voudrez me poser.

Philippe Latombe : Non. Merci beaucoup.
Avant de passer la parole à notre rapporteure, une question. Vous l’avez évoqué, vous avez dit qu’il y a peut-être une question de biais culturel, en tout cas de travail culturel à faire. En tant qu’ancien DINUM/DINSIC et ambassadeur du Numérique, avez-vous senti, au-delà de cette problématique culturelle, des freins, des oppositions, des surdités, voire parfois de l’entrisme qui ont fait que ce discours, cette volonté de montrer qu’il y avait des dépendances et qu’il pouvait y avoir d’autres solutions, ne percolait pas au niveau de l’administration ? Au sein de vos entretiens avec nos homologues européens, avez-vous eu, là aussi, cette même difficulté ? En gros, au-delà de simplement un problème culturel, n’y a-t-il pas une forme d’entrisme de la part d’un certain nombre de sociétés étrangères qui fait que ça crée des freins dans un certain nombre d’administrations ? En extrapolant un peu la question, au niveau européen avez-vous senti qu’il y avait cette possibilité qu’il y ait des formes d’ingérence indirectes ?

Henri Verdier : Un peu pour les administrations, mais, en vérité, le problème concerne plus les DSI qui sont des acheteurs publics, qui, de toute façon ne sauraient pas faire autrement. Après, ils ont évidemment un peu de formation continue par quelques grands acteurs très installés sur le marché, de toute façon ils ne savent pas qu’il existe des alternatives. Le problème est plus dans cette espèce de reconquête d’une capacité à faire, à raisonner par soi-même, à challenger des solutions, à tester, et puis peut-être du côté de la formation continue.
C’est pareil dans le privé. Franchement, toutes les structures de plus de 1 000 personnes commencent à se ressembler.
Pour l’Europe c’est un peu plus grave, mais vous le savez.
Quand j’ai commencé à être ambassadeur pour le Numérique il y a huit ans, les Français étaient vus comme cocardiers, va-t-en-guerre, arrogants. Quand on parlait de souveraineté numérique ou de souveraineté européenne ou de souveraineté numérique européenne, nous étions accueillis avec un sourire sceptique.
Le Nord de l’Europe, qui est très attaché aux libertés individuelles, à la liberté d’expression, etc., trouvait qu’on avait un petit côté un peu bonapartiste.
Les anciens pays de l’Est disaient « vous nous avez abandonnés, ce sont les Américains qui nous ont sauvés, donc, maintenant, on n’embête pas les Américains ».
On avait une façade atlantique qui est très libre-échange, commerce, qui voulait rester dans cette situation-là.
Et un Sud de l’Europe qui ne se pose pas ces questions-là, qui est encore très littéraire, parfois un peu atteint par les routes de la soie, qui était dans une autre dynamique.
Ça a quand même beaucoup changé, et la dernière réunion que j’ai eue avant de quitter le quai d’Orsay avec les ambassadeurs européens du Numérique, ils ont fait une espèce de blague, quand je suis arrivé ils ont dit « ça va, d’accord, vous aviez raison, ne la ramenez pas vous les Français » et l’un d’entre eux m’a dit « ce qui est bien avec Donald Trump c’est qu’il a transformé les Anglais en Européens et les Européens en gaullistes ». La situation change donc un peu, mais il y a quand même des réflexes qui ont la vie dure.
À Bruxelles, vous le savez aussi bien que moi, il y a plus de lobbyistes que de parlementaires. Leur technique n’est pas forcément de murmurer des contre-vérités, c’est plutôt de tout complexifier. Je pense par exemple que l’AI Act [9], qui fait plus de 450 pages, dont plus personne n’est capable de dire le sens, est le fruit de ce travail de complexification, de ramifications. Je ne sais pas si on va parler d’entrisme et encore moins de corruption, ce qui est sûr c’est qu’il y a un engagement énorme, très financé et relativement efficace pour empêcher tout ce travail.

Je pensais à une autre question, vous m’avez posé quelques questions sur le cadre européen, je développerai si vous me le demandez parce qu’il y a peut-être d’autres questions. Dans vos questions, vous me demandiez si ça marche. Avec ce qu’on a tous vécu, on pouvait raisonnablement penser qu’il y avait une chance que le DSA [Digital Services Act] et le DMA [Digital Markets Act], qui sont des textes magnifiques, très élégants, et qui ne font pas 450 pages, nous donnent un cadre pour régler deux énormes problèmes : l’un c’est la concentration des marchés et l’autre c’est la régulation des contenus. La beauté du DSA c’est que ce n’est ni l’État ni l’Europe qui se posent en gardien de la vérité, on essaie plutôt de créer un cadre de compliance et de dire aux entreprises « vous allez devoir nous montrer ce que vous faites sérieusement pour régler les problèmes comme les contenus terroristes, le harcèlement, la haine en ligne, etc. Vous choisissez votre stratégie et vous nous rendez des comptes. » On pouvait raisonnablement espérer que ces textes allaient produire quelque chose. Pour être allé plusieurs fois à Dublin, je peux vous dire que les grandes entreprises de la tech se préparaient sereinement à avoir un cadre pour les États-Unis et un autre pour l’Europe et à cliver leurs CGU [conditions générales d’utilisation] en deux zones, il faut le dire parce que c’est juste l’effet. Et puis quelques milliardaires libertariens, au premier rang Peter Thiel et Elon Musk, ont financé la campagne de Trump contre l’engagement d’avoir J. D. Vance comme vice-président. J. D. Vance est le lobbyiste en chef de ces entreprises et pas seulement de ces entreprises, parce qu’il y en a plein qui étaient très à l’aise avec l’idée qu’il y avait un cadre de régulation, il est lobbyiste en chef de ceux qui ne veulent pas de régulation et on a vu des choses absolument sidérantes. Il a rappelé en tant que vice-président, pas des propos d’estrade pendant une campagne, que si on sanctionnait financièrement, au nom du DSA, n’importe quel réseau social américain, ils allaient quitter l’OTAN, c’est quand même un niveau de menace ! On a plutôt souri en disant « vous ne quitterez pas l’OTAN », on sait que ça voulait dire autre chose, ça voulait dire je vais être un Maverick qui répondra à des conflits commerciaux dans n’importe quel autre secteur et qui n’aura peur d’aucune limite.
Aujourd’hui, à l’heure où je vous parle, je ne sais pas si nos cadres tiendront le choc face à une telle résolution politique, en tout cas il faudra du courage et de l’engagement et, peut-être parfois, payer le prix de rétorsions sur des mesures qui seraient prises par l’Europe.

Philippe Latombe : Merci.
Madame la Rapporteure, je vous laisse poser les questions.

Cyrielle Chatelain : Merci Monsieur le Président.
Merci Monsieur Verdier pour votre intervention.
J’ai trois sujets différents, je fais plutôt des questions.
Pour rebondir sur la fin de votre intervention sur la réglementation européenne, nous avons effectivement le DSA, le DMA et aussi une réglementation, le RGPD [Règlement général sur la protection des données à caractère personnel], un cadre qui a été novateur. Un Omnibus numérique [10] s’ouvre aujourd’hui en Europe. Quelle est votre analyse sur cet Omnibus et que pouvons-nous craindre au vu de ce que vous nous avez dit sur la pression mise par les États-Unis sur les réglementations européennes et le montant dépensé par les GAFAM aujourd’hui au niveau de Bruxelles ? On le voit aussi au niveau du Parlement avec une ancienne salariée des GAFAM rapporteure sur cet Omnibus numérique. N’est-ce pas là, finalement, l’occasion d’affaiblir cette réglementation ?

Henri Verdier : Il y a beaucoup plus que les trois textes que vous avez mentionnés. Il y a un Data Act, la directive cyber [Cyber Resilience Act], la directive PSI [ Public Sector Information directive] sur les données publiques, il y a le Chip Act, il y a une dizaine de grands textes en fait.
Je ne suis plus en charge de tout cela, je n’ai pas regardé dans le détail le projet Omnibus, mais tous les gens à qui je pose la question sont inquiets. Pas seulement à cause des lobbyistes américains et une fois encore, ne l’oubliez pas, beaucoup d’entreprises américaines, y compris dans l’IA, préféreraient qu’il y ait un cadre unifié et clair pour savoir sur quoi elles seront jugées un jour quand il y aura une class action. Elles ne sont pas forcément hostiles par principe à toute forme de régulation. Il y a une idéologie qui a noyauté la Silicon Valley, une idéologie qui est le livre de Peter Thiel, un très beau livre sur l’entrepreneuriat, qui s’appelle De zéro à un, Zero to One, un livre qui dit des choses très intéressantes sur l’entrepreneuriat, mais il termine par l’idée que l’anti-régulation est l’ennemi de l’innovation puisque seuls les monopoles peuvent devenir assez riches pour briser les tabous, les barrières. Il le disait déjà il y a 20 ans dans un livre qui, pendant longtemps, était enseigné dans toutes les écoles de management.

Il y a des lobbies américains, il y a aussi quand même des lobbies européens.

Je voudrais en profiter parce que j’ai été confronté à ce débat. On entend partout beaucoup, vous l’avez entendu comme moi, que la régulation est l’ennemie de l’innovation. Je ne crois pas que ce soit vrai. On peut même montrer que parfois, par exemple dans le come-back d’Airbus contre Boeing, le fait qu’Airbus venait en disant « en Europe les normes de sécurité sont beaucoup plus exigeantes qu’aux États-Unis, vous pouvez nous faire confiance » les a aidés dans la prise de la moitié du marché par Boeing. Donc, parfois, la régulation peut aussi aider. Ce qui est vrai c’est que parfois elle a été lourde, tatillonne, compliquée. J’aime bien rappeler, parce que c’est un conseiller d’État qui m’a montré cela, que le traité de concession du canal de Suez faisait sept pages et celui d’Eurotunnel faisait 7 000 pages et qu’il a tenu trois mois avant la banqueroute générale.
La première fois que je suis allé en Inde, ils m’ont dit « votre RGPD est d’une telle beauté, cette idée que la donnée doit circuler avec le consentement de l’usager, on va essayer de faire pareil. Mais pourquoi, dans sa mise en œuvre, avez-vous fabriqué un tel fardeau administratif pour vos entreprises ? ». Ils ont dit « nous allons essayer de faire un consent management system, on va même faire une infrastructure au bénéfice de l’innovation, parce qu’on va faciliter le partage du consentement, sa révocation, son accès à tout, son échange, donc on va en faire un asset pour les innovateurs » et cela nous a parfois manqué.
Donc je pense, de ce que j’entends, que ce qui s’est passé à Bruxelles c’est qu’il y a le rapport Draghi [11], il y a la peur sur la perte de compétitivité de l’Europe, il y a l’idée que le coût administratif et bureaucratique fait partie de cette perte de compétitivité et il y a l’idée qu’il faut simplifier les démarches, les procédures, etc., ce qui n’est pas toujours faux, à condition qu’on ne jette pas le bébé avec l’eau du bain. Je pense qu’il faut surtout apprendre à réguler de manière élégante, légère et pas, en revanche, renoncer à réguler.
Mais les gens sont tous inquiets.

Philippe Latombe : Madame la Rapporteure.

Cyrielle Chatelain : Merci.
Je voulais continuer la question du président, peut-être pas en utilisant le mot « ingérence » mais le mot le « lobby ». J’ai écouté une interview que vous avez donnée en marge du Symposium Software Héritage [12] où vous disiez que dans les décisions publiques, quand il y a un marché public, que c’est finalement l’État qui le passe, c’est le seul moment où ceux qui n’ont pas été pris peuvent aller publiquement donner leur désaccord, voire aller taper à la porte du politique. Vous dites que certains le font publiquement et que, parfois, ce sont des rendez-vous discrets chez un Premier ministre. Ma question : que pouvez-vous nous dire sur le poids de ces lobbies et aujourd’hui qui sont-ils ? Vous parlez de lobbies européens, vous parlez de lobbies américains, en fait, aujourd’hui, à qui faisons-nous face en termes de lobbies pour avoir une autonomie de l’État ?

Henri Verdier : Je ne l’enlève pas, c’était un mouvement d’humeur. En revanche, je n’ai jamais dit que les décisions étaient truquées et je ne le pense pas. Justement, le code des marchés publics est tellement tatillon, il y a tellement de responsabilité pénale à plusieurs étages de la chaîne jusqu’au payeur public, à la fin, qui est comptable sur ses biens propres. En revanche, ceux qui perdent, si ce sont des grosses boîtes elles vont quand même au tribunal administratif ; si ce sont des petites boîtes elles vont râler dans la presse en disant « c’est une honte, je n’ai pas eu le marché. » Parfois c’est agaçant, mais je n’ai vu aucun exemple dans ma carrière, et j’ai été sept ans DINSIC et sept ans un ambassadeur pour le numérique, de décision biaisée ou tordue par de la pression.
En revanche, ce sont plus les visiteurs du soir qui peuvent pousser une manière de raisonner.
Comme j’ai été sept ans DINSIC, j’ai vu passer trois fois le 100 % dématérialisation, avec cette idée yakafaucon, il suffirait de, on n’a qu’à tout dématérialiser, des idées qui étaient quand même un peu simplistes. J’ai entendu plusieurs fois qu’on pouvait gagner 3 % sur le coût de la Sécurité sociale ! Ce sont des cadres de raisonnement qui sont murmurés à l’oreille des politiques, mais ça ne truque pas les marchés.

Cyrielle Chatelain : Je vous remercie. Je n’ai pas dit que les marchés étaient truqués. Ce qui m’intéresse c’est de savoir qui murmure ces cadres de raisonnement, le nom des personnes qui murmurent à l’oreille des décisionnaires, c’est quand même important. Je me permets donc de vous reposer la question, j’imagine que des noms circulent. Je voulais savoir si vous aviez entendu, dans le cadre de vos fonctions, le nom de visiteurs réguliers qui auraient pu influencer sur cette lecture, sur cette analyse de ce que doit faire l’État sur le numérique.

Henri Verdier : Je peux vous répondre, d’ailleurs ça ne surprendra personne. Dès qu’une grande entreprise française a plusieurs centaines de milliers de salariés, exporte, demande l’aide de la diplomatie française et du réseau des services économiques dans son effort d’exploitation, ce qui est bien, elle parle aux politiques, donc, bien sûr, Capgemini, Atos sont reçus à très haut niveau, d’ailleurs ce serait choquant qu’ils ne le soient pas. Après, ça dépend des sensibilités, puisque j’ai servi l’État sous trois présidents consécutifs, les startups ont plus ou moins leurs entrées, etc.

Cyrielle Chatelain : Je vous remercie. Je passe à ma dernière question. Vous aviez écrit, en 2017 justement, un texte pour passer des startups d’État à l’État plateforme [13] avec cette idée que l’État devait développer des outils au service de l’intérêt général pour que les usagers ne soient pas prisonniers des GAFAM. Aujourd’hui, quel bilan faites-vous de ce développement de l’État plateforme, d’une logique de ré-internalisation ? Vous avez dit « tout n’a pas vocation à être internalisé. » Quelles sont vraiment les fonctions stratégiques que l’État doit développer en interne pour continuer à être fort ?

Henri Verdier : Dans ma carrière, j’ai été entrepreneur, puis j’ai fait de la prospective pendant deux ans pour le groupe des écoles de Télécom et en 2012, avec Nicolas Colin, nous avions écrit un livre qui s’appelait L’Âge de la multitude. Entreprendre et gouverner après la révolution numérique, qui voulait montrer la puissance des stratégies des plateformes, qui montrait, à bien regarder, que Google, Facebook et tous les autres avaient les mêmes genres de stratégie qui étaient globalement d’ouvrir leurs assets pour stimuler l’innovation dans l’écosystème et capturer une partie de la valeur ajoutée de cette innovation. N’oubliez pas, par exemple, que même le moteur de recherche de Google, techniquement parlant, c’est la capture des liens hypertextes qui ont été écrits par des internautes, c’est une stratégie de plateforme. On prend la valeur ajoutée de millions d’internautes.
Tout cela a demandé des stratégies technologiques précises parce que, au lieu de voir son informatique en cathédrale, il fallait la voir comme des petits modules. Dès qu’on en fait un, il faut qu’il puisse être réutilisé par toutes sortes d’autres applications, des échanges de données fluidifiés par des API, des application programming interfaces, et une manière de s’ouvrir sur les écosystèmes autour de soi. Je terminais, en 2012, en disant que l’État pourrait le faire, on appellerait ça l’État plateforme, et on a essayé de porter cet agenda dans les années où j’étais DINSIC, je crois que la nouvelle DINSIC, la DINUM, le fait aussi.
Il y en a des beaux restes, par exemple le premier, c’est France Connect. Aujourd’hui il y a une utilisation quotidienne, par 40 millions de Français, de France Connect. On l’avait fait parce que je voyais que dans certains services publics britanniques, on se loguait avec Facebook Connect, j’avais donc été extrêmement choqué que, pour payer ses impôts, on se logue avec un Facebook Connect. En plus, si c’est mal paramétré, et je crains que ça ait été mal paramétré, vous n’avez pas seulement mis une porte d’entrée, grâce à l’Open Graph Protocol Facebook sait quelles pages vous avez visitées, ce que vous avez fait, d’où vous venez, où vous allez après, etc. Cela existe.
Ensuite, quelque chose qui ne se voit pas à l’œil nu, il y a de grandes API maintenant qui ont considérablement simplifié le fonctionnement interministériel, il y a une API des données d’entreprises, une API des données personnelles, une API des données géo et aujourd’hui elles échangent des milliards de données chaque semaine et beaucoup de démarches interministérielles sont fluidifiées et sécurisées. Quand j’étais DINSIC, j’avais découvert que certaines administrations utilisaient une copie de rang 7 du fichier SIRENE [Système national d’identification et du répertoire des entreprises et de leurs établissements ou du fichier de l’état civil de la Sécurité sociale. C’était la septième copie consécutive et on avait des trucs qui avaient six mois de retard parce que c’était trop compliqué d’aller les chercher en temps réel, donc on se passait des trucs sous le manteau.
On voit aussi, finalement, que les méthodes agiles, qui sont le corollaire de ça, parce que plus le SI de l’État donne des modules, des données par flux rapides, etc., plus c’est facile d’en prototyper des petits. C’est quand même en train d’entrer dans les mœurs, d’apparaître comme la solution à certains problèmes.
Pour ne pas être trop long parce que je crois qu’il y a d’autres questions, il y a des beaux restes, il y a des belles promesses.
Quand je suis allé en Inde et que j’ai découvert le mouvement des infrastructures publiques numériques, je me suis dit « waouh, eux ont vraiment réussi l’État plateforme ». Je crois qu’il y a beaucoup à apprendre de l’expérience indienne qui, d’ailleurs, n’est pas une expérience particulièrement gouvernementale, je le dis en passant, c’est un écosystème privé-public à Bangalore, un État d’opposition qui a porté tout cela. Par exemple aujourd’hui, si vous prenez un rickshaw, un tuk-tuk à Bangalore, vous le commanderez par une application qui a coûté 5 000 euros au syndicat des rickshaws parce qu’ils ont appliqué un standard ouvert qui s’appelle Beckn. Un jour, le syndicat des rickshaws, qui sont pour la plupart analphabètes, s’est dit « pourquoi donne-t-on 40 % à Uber ? Nous sommes assez grands pour faire tout seuls l’application de commande des taxis. » Ils ont passé commande à une petite SS2I locale, pour 5 000 euros, pour une application qui marche très bien. Il y avait un vrai standard pour décrire les mouvements, les trajectoires, les identités, les transactions, les comptes en banque. L’État plateforme à l’indienne, ce sont ces infrastructures logiques, cognitives, qui permettent à chacun d’innover rapidement et surtout – je voudrais juste dire cela parce que je crois que ça plairait à votre président. Il y a une maturité d’un débat politique que nous n’avons pas encore en France. Si vous discutez de cela avec les opérateurs en Inde, les architectes, d’abord ils vous disent qu’il faut savoir où on doit intervenir, c’était votre question. Ils disent qu’il faut intervenir quand il y a un risque de capture du marché par un monopole et il faut intervenir quand il y a des innovations qui bénéficient tellement à tout le monde que c’est plus simple de les financer par de l’argent public, comme l’identité par exemple, parce que si chacun devait payer chaque fois qu’il utilise son identité ça saturerait le marché des transactions. Et il faut intervenir quand il y a un marché biface et qu’il y a un risque de rude intermédiaire, d’intermédiaire malhonnête, ils le disent comme ça donc je vais citer des Indiens : « On ne sait jamais si Uber bosse pour le taxi ou pour le client, donc il peut prélever aux deux et chaque fois que quelqu’un dit « tu m’as mal servi », il peut dire oui mais là j’étais en train de servir l’autre, donc on ne peut pas les réguler sérieusement ». Alors que quand quelqu’un dit « je sers le taxi » ou « je sers le client », on peut quand même s’expliquer au tribunal. Ils disent qu’il faut empêcher les acteurs économiques de prendre le contrôle des marchés bifaces. En revanche, et je termine là, ils disent qu’il faut laisser le maximum d’innovation au marché et il ne faut pas entrer dans le risque d’innovation, ce n’est pas le rôle de l’action publique, on doit rendre possible les innovations, garantir que personne ne va en profiter pour imposer un monopole et on ne va pas essayer de le faire à la place du marché.
Ce sont des choses qui sont discutées par des milliers de gens, jour et nuit, en les raccrochant aussi à l’histoire de l’indépendance, de Gandhi, de Nehru, il y a une espèce de sagesse collective qui est impressionnante. Nous avons quand même ici, parfois, des trucs un peu à l’emporte-pièce.
Je n’en dirai pas plus, sauf s’il y a une question expresse.

Philippe Latombe : Merci. Avant de passer la parole pour d’autres questions, j’en aurais deux petites.
Une première qui fait le lien avec ce que vous venez de dire. Nous faisons face, depuis quelques mois, à des fuites de données très importantes, notamment venant du secteur public. L’utilisation de l’authentification multi-facteurs n’est pas la norme, à priori, puisque beaucoup viennent de là. Est-ce que, par exemple, ce serait le rôle de la DINUM de créer ou d’imposer et comment faudrait-il qu’elle le fasse ? Devrait-elle utiliser une solution privée ou créer une solution publique liée à l’identité numérique, pour avoir cette protection supplémentaire ?
Et une question qui n’a rien à voir avec ce sujet-là, mais qui me semble importante. On a vécu, pendant plus de cinq ans maintenant, un psychodrame concernant la plateforme des données de santé, le ex-Health Data Hub avec un hébergement qui a été confié à Microsoft non pas via un appel d’offres mais l’UGAP [Union des groupements d’achats publics]. Quelle est, aujourd’hui, votre vision de l’UGAP ? Quel est son rôle ? Quel devrait être son rôle et quelles sont, éventuellement, les modifications que nous aurions à apporter à cette plateforme pour essayer de faire en sorte d’avoir quelque chose, dans les marchés publics, qui soit très ouverts et que, dans l’UGAP, on ait une forme d’ouverture ou de transparence ou de mode de fonctionnement amélioré pour éviter les errements qu’on a pu avoir avec le Health Data Hub ?

Henri Verdier : Les fuites de données, d’abord c’est très grave et ça ne m’étonne pas parce qu’on voyait bien qu’on a quand même construit sur des bases d’une faiblesse incroyable avec des surfaces d’exposition au risque et une sorte d’inconscience privée et publique. Je ne crois pas que l’État soit particulièrement pire que le secteur privé. Là ça se voit parce qu’il y a des acteurs de plus en plus professionnels. Les multinationales du cybercrime sont des vraies multinationales avec des centres de R&D, des politiques RH, de la formation continue, elles sont extrêmement puissantes. Je ne sais pas si vous avez vu, sinon jetez un coup d’œil : au moment de l’invasion de l’Ukraine, il y a eu les Conti Leaks, en fait une de ces mafias s’est splittée entre les Russes et les Ukrainiens et il y en a un qui était en colère et qui a balancé sur Wikileaks tous les mails, donc vous les voyez dans leur bureaucratie du crime, super sophistiqués et super organisés.
N’oublions pas aussi que si on les signale plus c’est parce que la loi fait obligation, maintenant, de les signaler, c’est bien aussi. Mais c’est très grave.
Je ne sais pas si la double authentification suffirait parce qu’il y a aussi la faiblesse éventuelle des infrastructures elles-mêmes. Je confierais plus à l’ANSSI qu’à la DINUM le soin de faire le cadre et de l’imposer, comme le référentiel général de sécurité qui était coédité par l’ANSSI et la DINUM, DINSIC à l’époque, mais l’ANSSI était plus crédible et puis elle peut refuser un projet en cas d’inquiétude concernant la cybersécurité.
Votre autre question ?

Philippe Latombe : Sur l’UGAP, le fonctionnement de l’UGAP, ses évolutions, potentielles, possibles, envisageables ?

Henri Verdier : Je m’étais renseigné à l’époque. Les gens qui avaient fait le choix de prendre la seule solution référencée par l’UGAP c’était aussi parce qu’ils s’étaient dit « sinon ça va me prendre trois ans pour faire un marché public, le notifier, le publier, le dépouiller, répondre au référé » et ils voulaient faire vite, donc c’est très triste. Ça nous dit aussi quelque chose sur la difficulté à faire de l’achat public.
Puisque je ne suis plus dans l’État, en tout cas dans l’administration centrale, à la fin de mon mandat à la DINSIC, je me suis demandé si on ne devait pas créer une centrale d’achat pour l’informatique confiée à la DINSIC à l’époque, DINUM aujourd’hui, parce que c’est quand même très précis, ça demande beaucoup de connaissances. L’UGAP fait aussi bien qu’elle peut, mais un jour elle fait de l’informatique, un jour elle fait du papier peint, un jour elle fait une flotte de véhicules, un jour elle fait des vacances, elle fait plein de trucs. Honnêtement, j’avais commencé à murmurer aux autorités que, peut-être, il fallait une centrale d’achat dédiée.
Voilà, c’est une réponse, non ?

Philippe Latombe : C’est une réponse. Merci. Je vous en prie.

Arnaud Saint-Martin : Merci pour tous ces éléments. J’ai juste une question et je l’illustrerai par deux cas.
Quel est votre sentiment, votre évaluation, concernant le processus par lequel la vulnérabilité, la dépendance technique, est non seulement assumée, organisée mais désirée par les administrations publiques et l’État aussi, plus généralement, sous la forme de politiques publiques très incitatives ?
Je prends l’exemple de la course au gigantisme dans les datacenters. Au nord de ma circonscription, un campus, Campus IA, est en train de s’installer à Fouju, 35 milliards qui sont abondés par un fonds souverain d’Abou Dabi avec Nvidia, Mistral, etc. Il y a eu une concertation publique à laquelle j’ai participé, j’ai beaucoup interrogé au sujet des dépendances, le fait que, globalement, ça va sans doute partir en dehors du sol français, etc., et on m’a répondu que c’était une dépendance qui était assumée et puis, de toute manière, on part de tellement loin qu’il faut bien s’organiser s’agissant des usages de l’IA et du numérique donc ce n’est pas si grave que ça. C’est la réponse qu’on m’a offerte y compris au ministère du Numérique. C’est un premier élément, puisque vous évoquiez la course au gigantisme qui est peut-être une impasse, une fuite en avant. Ne met-on pas là le doigt dans quelque chose qui accroît ces vulnérabilités ?
Et deuxième point. Que fait-on quand on a affaire à des infrastructures ultra critiques, type DGSI [Direction générale de la Sécurité intérieure] qui contracte avec Palantir, et précisément, puisque vous avez évoqué Peter Thiel, qui accroît une dépendance avec un acteur très précis dont vous avez esquissé, résumé la philosophie, qui, clairement, ne nous veut pas forcément du bien.
Est-ce que vous pourriez approfondir votre évaluation sur ces éléments, s’il vous plaît ?

Henri Verdier : Ce sont des sujets compliqués. Je vois qu’il n’y a plus beaucoup de temps, c’est peut-être moi qui aie été trop long sur plein de sujets. On a aussi un problème c’est qu’on a en face de nous une économie du capital-risque qui est financée par des investissements considérables, dans un pays qui produit autant de dollars qu’il veut, de toute façon il aura toujours plus de dollars qu’on aura d’euros puisqu’il produit des dollars quand il en manque, il ne faut pas l’oublier. C’est donc une équation permanente parce qu’il nous faut aussi de l’investissement de temps en temps. Si on a financé des datacenters, il y a assez peu de risques qu’ils partent du jour au lendemain dans un autre pays, ce sont quand même des infrastructures physiques.
En tout cas, la France cherche en permanence à assurer l’autonomie, voire l’indépendance capitalistique de ses propres entreprises, mais aussi à attirer des investisseurs étrangers, en espérant ne pas se planter et parfois on se plante. Il y a eu des erreurs de stratégie industrielle dans la fusion Alcatel-Lucent ou quand France Télécom a arrêté des projets. C’est l’Inria [nstitut national de recherche en informatique et en automatique] qui a inventé Internet, mais on a dit « arrêtez tout ça, le Minitel c’est mieux » et c’est renaît aux États-Unis. On peut aussi faire des erreurs, mais on cherche une espèce de trade-off.
Pour Palantir et la DGSI, je me permets de le dire devant cette commission, j’ai prêté serment, je dois dire la vérité, on peut aussi ne pas répondre, je pensais que c’était une erreur. Je n’étais pas en charge, je n’ai pas été audité, je n’ai pas participé à la décision, ce ne sont pas des infrastructures civiles pilotées par la DINUM. On m’a dit, parce que c’est quand même la moindre des choses, « c’est hébergé sur des machines coupées du réseau », donc ça n’a pas donné la main à Palantir pour savoir ce qu’est en train de faire la DGSI, j’ai tendance à le croire. Mais, si on en juge une littérature récente, notamment le livre d’Olivier Tesquet et de Nastasia Hadjadji [Apocalypse">Nerds – Comment les technofascistes ont pris le pouvoir], Palantir ne fait pas que ça. Quelque part, ils vous disent « vas-y tu peux prendre 100 fois plus de données qu’avant, ne t’inquiète pas, je gère », ils se rendent absolument indispensables et quand, ensuite, on a un conflit commercial ou quand ils veulent changer la grille tarifaire, ils disent « ce n’est pas grave, je ferme », et on ne sait plus faire le travail tel qu’on le faisait avant. En tout cas, j’aurais quand même été prudent. En tout cas, j’espère qu’on verra bientôt des Palantir avec des capacités de traitement de données européennes et, justement, pas des Palantir européens. On revient à ce que je disais tout à l’heure : changer la nationalité du tyran ne suffit pas toujours à régler le problème de la souveraineté.

Je voulais juste le mentionner, mais vous le savez, la souveraineté est aussi une caution de la démocratie. Si le peuple souverain ne peut pas librement décider par exemple de protéger les données personnelles ou de garantir que les enfants ne verront pas de pornographie, on n’a plus de démocratie non plus. En fait, ce n’est pas seulement la sécurité économique, c’est la démocratie.

Philippe Latombe : Merci beaucoup. Je propose qu’on pose deux questions rapidement à la suite. Monsieur Saulignac d’abord, Monsieur Le Gall ensuite.

Hervé Saulignac : Merci Monsieur le Président, merci Monsieur Verdier pour votre exposé. J’aurais beaucoup de questions, j’en ramasse deux très rapidement.
Vous avez défendu l’idée d’un équilibre dans notre rapport de force avec de grandes puissances, notamment américaines mais aussi chinoises. L’Europe n’a pas fait le pari de l’autosuffisance numérique, si je peux employer cette expression. Ma question est extrêmement simple : ne pensez-vous pas qu’il est peut-être déjà trop tard ? Vous avez évoqué quelques pistes de manière assez rapide, notamment les standards ouverts. Pourriez-vous préciser d’autres pistes pour atteindre cet équilibre dans le rapport de force que vous avez exposé ?
Ma deuxième question. Dans ce genre d’échange, on évoque un nombre d’acteurs absolument impressionnant, il y a les régulateurs, la CNIL [Commission nationale de l’informatique et des libertés], l’Arcep [Autorité de régulation des communications électroniques], l’Arcom [Autorité de régulation de la communication audiovisuelle et numérique], etc. Il y a les directions chargées du pilotage de l’État, vous avez évoqué bien sûr la DINUM, mais on aurait pu en évoquer beaucoup d’autres. Il y a les agences spécialisées, il y a différentes plateformes, France Connect, data.gouv [plateforme de diffusion de données publiques], les organismes de recherche, etc. N’y a-t-il pas une autre architecture souhaitable, parce qu’on a le sentiment qu’il y a foison d’acteurs, probablement aussi des dépenses relativement importantes ? Cette question de l’architecture et de la gouvernance a-t-elle déjà été interrogée selon vous ?

Philippe Latombe : Merci.
Monsieur Le Gall.

Arnaud Le Gall : Merci Monsieur le Président. Merci beaucoup pour votre exposé, désolé d’être arrivé en retard.
J’ai deux petites questions.
La première. Le 5 février, le Premier ministre a produit une circulaire sur la commande publique numérique [14]. Pour revenir un peu en lien avec les questions qui étaient posées par le Président sur l’UGAP, l’administration a-t-elle tout simplement les moyens d’appliquer cette circulaire à l’heure où nous parlons ? Question dans la question : est-ce qu’à l’heure actuelle quelqu’un, dans l’État, a une vue globale, est en capacité de donner une cartographie des solutions numériques utilisées dans l’administration française, au moins au niveau central ? J’en doute, mais peut-être que…
Deuxième question très rapide. L’un des nerfs de la guerre c’est le cloud. Je suis très inquiet de voir que le Cybersecurity Act 2 semble acter le renoncement au label « cloud souverain », qui n’était qu’un label. Il y a peut-être deux réponses à faire à cela, que je voudrais tester avec vous. La première c’est évidemment ne pas lâcher sur ce sujet. Vous avez cité Guillaume Poupard qui, interrogé en commission des Affaires étrangères sur le caractère, qu’on estimait scandaleux, du fait d’utiliser des solutions de paiement d’Amazon pour l’euro numérique, en tout cas dans la phase de test, ce n’est pas du cloud, avait répondu que pour une partie de nos partenaires européens la souveraineté est un gros mot.
Pour revenir sur le cloud stricto sensu, il y a deux réponses possibles : d’une part ne pas lâcher et développer vraiment des clouds souverains avec l’engagement que les données ne partent pas ou ne sont pas sous législation étasunienne ou chinoise, mais il y a quand même beaucoup moins d’acteurs qui utilisent des solutions chinoises. Il y a peut-être une deuxième option qui est de réfléchir à redéfinir les besoins, évidemment démocratiquement, il ne s’agit pas de décréter. A-r-on besoin du tout cloud ? Le fait qu’on ait généralisé l’usage des clouds n’est-il pas un point de faiblesse ? À quoi sert le cloud, finalement, si ce n’est à accumuler de la donnée pour ensuite faire tourner, etc. Dans certains cas, ne peut-on pas réduire l’usage du cloud y compris écologiquement, etc., au sein de l’État ?

Philippe Latombe : Merci. Madame la Rapporteure voulait prolonger la question, ensuite je laisserai Monsieur Verdier répondre.

Cyrielle Chatelain : Merci. Je voulais prolonger la question de Monsieur Saint-Martin sur les datacenters. Vous l’avez évoqué, il nous faut une capacité de calcul européenne. Quels sont pour vous les grands critères qui définiraient des datacenters souverains ? On parle de la localisation, mais il n’y a pas que ça, on a parlé des lois extraterritoriales. En fait, quels sont les éléments auxquels il faut faire attention quand, comme Monsieur Saint-Martin, on est dans une concertation publique sur l’implantation d’un datacenter ?

Philippe Latombe : Merci. Monsieur Verdier.

Henri Verdier : Monsieur le Président, vous avez dit « deux dernières questions », il y a en dix, mais je vois trois paquets.
Il y a un paquet sur l’organisation de l’État. Oui, le portage de la question numérique est extrêmement divisé et variable, en plus, suivant les ministres, suivant les ambassadeurs, suivant la DINUM. Pour partie c’est quand même normal. Il y a longtemps, les ministres du Numérique ou les secrétariats du Numérique étaient Secrétaires d’État à l’économie du numérique. Dans notre politique industrielle, il est normal qu’il y ait une dimension au bénéfice des startups rapides, innovantes.
La DINUM/DINSIC repose sur une autre histoire qui est assez amusante. En fait, jusqu’en 1986, n’importe quel informaticien de l’État faisait tout ce qui lui passait par la tête. Une circulaire Balladur a dit que les ministres sont responsables de leur ministère et puis une circulaire de François Fillon a dit que désormais il y aurait des secrétaires généraux des administrations et que leurs DSI leur seraient rattachées. Et puis, avec crainte et tremblements, ils ont décidé de mutualiser d’abord avec le RIE [Réseau Interministériel de l’État] et puis, petit à petit, ils ont édicté quelques référentiels d’accessibilité et maintenant la DINUM essaye aussi de faire une espèce de glu interministérielle, avec des connexions, mais ça reste quand même des SI ministériels, c’est donc une autre histoire.
La cybersécurité c’est une troisième histoire.
La diplomatie numérique, parce qu’on n’en a pas parlé, ce sont aussi des attributions, des sanctions, de la négociation sur le droit international dans le cyberespace, la gouvernance d’Internet, l’éthique de l’IA. En fait, c’est un domaine à part entière qui n’est pas celui dont on a parlé aujourd’hui.
Je pense que chaque ministre, aujourd’hui, a vaguement conscience que l’avenir de la politique publique dont il est responsable se joue aussi dans l’IA, donc qu’on ne peut pas lui confisquer l’éducation du futur, l’écologie du futur, la santé du futur. Donc, pour partie, c’est normal.
Quand j’étais dans l’État, je trouvais qu’on était très lourd. Quand je suis devenu diplomate, j’ai vu qu’on était quand même assez bien organisé par rapport aux autres Européens. En tout cas, quand il y a un texte européen, c’est la RP [Représentation Permanente] à Bruxelles qui le négocie sur le fondement d’instructions qui lui parviennent du SGAE [Secrétariat général des Affaires européennes] qui a organisé une concertation interministérielle complète. Bizarrement, c’est à Bruxelles qu’on est plus cohérent, parce qu’on a une position unique, négociée et arbitrée.
Bien sûr, la cartographie dont vous parliez est impossible. La DINUM peut savoir à peu près, je l’ai dit tout à l’heure, ce que dépensent les DSI ministérielles. Mais si les services d’information de certains ministères ont choisi de faire un chatbot, ça n’apparaîtra pas dans les radars de la DINUM ; on n’a pas les opérateurs, on n’a pas la sphère de défense, on n’a pas le classifié. Il y a peut-être des choses à faire là. Tout à l’heure, j’ai fait allusion au fait qu’il n’y a pas de comptabilité analytique. On ne raisonne pas comme ça, on a des budgets de fonctionnement, c’est donc très préjudiciable. Il faudrait une mission d’enquête à part entière avec des gens qui passent des heures dans des tableaux de chiffres.

Le deuxième paquet de questions c’est autour de souveraineté et de souveraineté européenne. Vous avez commencé, Monsieur, en disant qu’il y avait un renoncement, je dirais plutôt qu’il y a eu une série d’échecs. Finalement la France, qui avait su faire un programme nucléaire militaire, un programme nucléaire civil, du spatial, tout d’un coup s’est mise à rater le plan Calcul [15] encore que cela n’est pas complètement un échec , la tentative de faire un Airbus européen du hardware et puis elle a perdu la bataille du système d’exploitation. Pourquoi ? Je ne sais pas, mais je constate que les formes d’innovation de la Silicon Valley se sont mises à changer à ce moment-là. Quand on connaît ce qui se passe dans la Silicon Valley, c’est une approche très darwinienne qui est tout le contraire de la beauté intellectuelle à laquelle on forme dans nos grandes écoles. On lance 1 000 projets, on en ferme 500 au bout de six mois, on en ferme 200 de plus un an plus tard et on le fait avec des capitaux risqueurs qui eux-mêmes savent qu’ils doivent accélérer les projets parce que celui de leur portefeuille qui va réussir doit rembourser tout le reste. C’est une espèce de dynamique qui a visiblement marché dans le numérique et qu’on a mis du temps à comprendre.
J’ai créé ma première entreprise numérique en 1995, on a eu une petite bouffée d’espoir quand on a vu quelques belles boîtes françaises comme PriceMinister et d’autres, puis ça a refait pschitt. Après on a vu arriver Criteo comme une hirondelle qui annonçait un petit printemps, ça y est, on savait faire des licornes, mais on a perdu presque 20 ans. On ne savait plus innover comme ça se passait dans le numérique.
C’est donc plus une histoire d’échecs qu’une histoire de renoncements, même si c’est vrai, j’ai fait allusion tout à l’heure à certains Européens très libre-échangistes. J’ai dû répéter peut-être 1 000 fois la différence entre souveraineté DANS le numérique et souveraineté SUR le numérique. J’ai essayé de dire « on ne veut pas contrôler Internet et censurer la parole publique, on veut être libre dans Internet. On veut quand même avoir le droit de prendre des décisions, de réguler si on estime que c’est nécessaire ». Mais beaucoup d’Européens disaient, je l’ai entendu, on me l’a dit « ça sonne un peu chinois tout ça. »
Nous avons appris à dire autonomie stratégique, self-determination, nous sommes capables de changer de vocabulaire si ça rassure nos collègues. Et puis tout le monde a quand même compris qu’il y avait un vrai problème. Ça vient, mais on a perdu 20 ans.

Vous me demandez quelle serait la stratégie, on n’a plus beaucoup de temps, mais il se trouve que j’avais quand même noté quelques points, bullet points, hier soir, parce que la question avait été écrite.

• Je trouve qu’il serait bien que tout le monde réfléchisse, et ça va arriver, qu’on se donne quelques points stratégiques industriels. Il y a effectivement un cloud français de très grande qualité, il faut en profiter.
• On parle beaucoup d’intelligence artificielle, mais on garde dans l’œil le modèle des Large Langage Models au service de données commerciales et marketing. Comme l’avait dit un jour Thierry Breton, je pense qu’il y a un boulevard pour l’Europe à faire de l’IA industrielle pour transformer l’industrie, ce sont des données qui ne sont pas encore en place publique. Il faudra des business modèles beaucoup plus variés que le placement publicitaire, parce que globalement, pour l’instant, c’est le seul business modèle du consumering Internet. Et, bien sûr, il y a un double enjeu pour l’Europe puisqu’on peut faire des IA très européennes et sauver notre industrie, je pense qu’on devrait le décider.
• Je pense que si on disait qu’on se donne comme ambition que toutes nos usines consomment 30 % de moins d’énergie, 30 % de moins de matières premières, tout le monde, autour de cette table, serait content, y compris les écologistes. Il y a un beau sujet.
• Je pense qu’on doit aussi se souvenir qu’on doit beaucoup à notre recherche publique. Elle est quand même en train d’être amochée, elle a des problèmes de financement, alors que c’est elle qui a sauvé y compris l’IA qui gagne aujourd’hui, les DLLM [Diffusion Large Language Models]. Personne n’y croyait il y a 20 ans et ça a survécu dans quelques laboratoires en France et au Canada.
• Je pense qu’on devrait regarder d’un peu plus près ces infrastructures publiques numériques comme ils le font en Inde, j’ai creusé ça de très près.
• Je pense, je vous l’ai dit, qu’on devrait avoir une politique affirmée de soutien à ces grands communs, ces grands logiciels libres qui sont des facteurs de souveraineté, on ne leur donne pas d’argent public. Sous mon impulsion, quand j’étais ambassadeur, mais ça a pris trois ans pour négocier avec Bruxelles, ça dit tout, j’ai pris un EDIC, European Digital Infrastructure Consortium sur les communs numériques [16], il aura quelques millions d’euros !
  On doit beaucoup de liberté à l’existence de Linux, au fait qu’Internet soit encore un standard ouvert, à l’existence d’OpenStreetMap, mais on ne leur donne pas un radis. On leur dit « merci beaucoup, vous nous rendez libres », mais on les aide pas et parfois on perd la bataille. Mozilla s’est fait cannibaliser par Google, Google a dit « je viens vous aider, je vous prête un développeur, deux développeurs, mille développeurs, je vous donne 50 millions d’euros » et à la fin c’est devenu une antenne de Google. Ce n’est pas parce que c’est libre que c’est protégé. C’est protégé s’il y a des contributeurs, si on travaille dedans, si on finance, etc.
• Je pense que l’achat public est un levier, mais, une fois encore, pas forcément autant qu’on le rêve. On ne fait pas 1 000 milliards de dollars de dépenses militaires, on fait deux milliards et demi de dépenses militaires, rappelons-nous ça quand même. En revanche, on aurait intérêt à ce que l’État fasse un achat public smart, qu’il fréquente des startupeurs, qu’il connaisse des innovateurs, qu’il connaisse des chercheurs, que les gens se comprennent, ce serait bon pour tout le monde.
• Et pour finir, ça sera un peu la réponse à votre question : non il n’est pas trop tard. J’ai assisté à des milliers de colloques où on dissertait savamment pour savoir si on parlait de souveraineté ou d’autonomie stratégique ou s’il fallait faire du protectionnisme. Et quand je discute avec certains grands entrepreneurs, on tombe d’accord sur le fait qu’on veut augmenter nos degrés de liberté et que ça devrait être dans chaque décision du quotidien. Si on rentrait dans une espèce de culture où, chaque fois que qu’on a une décision à prendre, on prenait celle qui augmente ses degrés de liberté, d’abord ça changerait la culture de l’organisation.
• Je ne sais pas si cette commission a un groupe de travail sur une messagerie. Si c’est le cas, j’espère que c’est Signal, sinon il y a un problème ! Y penser toujours.

Je peux vous raconter une anecdote et c’est mon dernier point. Quand je suis arrivé à la DINSIC on m’a dit « dans deux semaines, on édicte un marché public, ça fait trois ans qu’on y travaille, tout le monde est d’accord, on a le visa du CBCM [Contrôleur budgétaire et comptable ministériel], le Premier ministre est d’accord, tu n’as pas le choix. ». C’était pour acheter du cloud, nous étions en 2015, et je savais, puisque je m’étais renseigné, que les Français n’allaient même pas répondre à l’appel d’offres. Pour vous montrer le genre de réflexe, j’ai demandé « est-ce qu’on peut rajouter une clause disant qu’avant la signature du contrat on fera un test de migration pour savoir si on peut se barrer en 15 jours de la solution ? ». C’était une sorte de dernière ligne de défense pour rajouter un degré de liberté, en l’occurrence je n’ai même pas pu. Dire à chaque fois, j’en rajoute une. Si on entrait dans cette culture-là, les premiers gains peuvent être immédiats, très rapides, et les gens verront qu’il y a cette espèce de culture en France, qu’elle est licite, qu’elle porte des fruits. Je ne crois pas que ce soit perdu.
La bonne nouvelle, dans l’histoire du numérique, c’est que les géants d’aujourd’hui seront jetés à bas cinq ans plus tard par d’autres géants. Il n’est plus sûr du tout qu’être un leader du moteur de recherche soit une position stratégique, en tout cas dans deux ans ça ne le sera plus.
Préparons les batailles suivantes et, cette fois-ci, ne ratons pas !

Philippe Latombe : Merci beaucoup Monsieur Verdier. Merci pour cet échange. Vous avez inauguré cette commission par votre audition. Je sais que vous allez la suivre autant que faire se peut. Si vous voyez qu’il y a des questions qui se posent et que vous voulez contribuer, n’hésitez pas à contribuer par écrit sur les différents sujets qui pourraient émerger lors des différentes auditions, ce sera toujours avec plaisir.
Merci beaucoup. La séance est suspendue pour quelques minutes.