Texte intégral
M. Simon Uzenat, président. - Comme il est de tradition pour une commission d'enquête, nous venons clore nos travaux en recevant les membres du Gouvernement compétents dans les champs couverts par nos investigations.
Alors que nous avions débuté nos auditions par un examen du champ traditionnel de la commande publique, en recevant les représentants des collectivités territoriales, des experts, des juristes, il nous est rapidement apparu, à l'initiative notamment de notre rapporteur, qu'un champ particulier méritait tout notre intérêt : celui de la souveraineté numérique et du rôle que les acheteurs publics peuvent jouer pour la promouvoir.
Les constats en la matière sont clairs et partagés : une dépendance, subie ou entretenue, vis-à-vis d'opérateurs extraeuropéens soumis à des législations extraterritoriales et une mauvaise appréhension des risques associés à ces dernières, malgré une doctrine claire en la matière. Si une prise de conscience a eu lieu au plus haut niveau, comme l'illustre l'article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi " Sren ", il reste encore à traduire ces orientations en actes, notamment en ce qui concerne la plateforme des données de santé (PDS).
Nous recevons donc Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique pour échanger avec elle sur ce sujet.
Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 € d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Veuillez lever la main droite et dire " Je le jure ".
Conformément à la procédure applicable aux commissions d'enquête, Mme Clara Chappaz prête serment.
Madame la ministre, les travaux de notre commission d'enquête mettent en lumière les contradictions de la politique menée par l'État ces dernières années pour faire progresser la souveraineté numérique française et européenne.
D'un côté, une grande conscience du risque et un haut niveau d'expertise au sein de structures comme l'Agence nationale de la sécurité des systèmes d'information (Anssi) ou la direction interministérielle du numérique (Dinum), que nous avons auditionnées. De l'autre, des acheteurs publics ministériels, hospitaliers ou dans les collectivités qui, faute d'incitations suffisantes ou parfois de compréhension du risque encouru, perpétuent des situations de dépendance vis-à-vis d'opérateurs qui ne peuvent garantir la sécurité des données qu'ils hébergent. Partagez-vous ce constat ? Comment envisagez-vous d'y remédier ?
Notre commission d'enquête s'est penchée sur la situation de la PDS, dont nous déplorons que l'hébergement soit assuré depuis sa création par Microsoft Azure, alors que cette occasion aurait permis d'encourager le développement et la structuration d'une offre française d'hébergement souverain, capable dès cette époque de rivaliser avec la concurrence internationale - même si Cédric O, que nous venons de recevoir, ne partage pas cet avis. Sa migration vers une solution qualifiée SecNumCloud est maintenant obligatoire en application de l'article 31 de la loi " Sren ". Quelles sont les perspectives en la matière et l'échéance de publication du décret d'application de cet article ? Quel regard portez-vous sur la maturité de la filière française du cloud de confiance pour remplir cette mission ?
De manière plus générale, les start-ups regrettent d'être défavorisées dans les procédures de la commande publique, qui seraient plutôt tournées vers les acteurs établis et les grandes entreprises. Quelles sont les initiatives que le Gouvernement a prises ou compte prendre pour y remédier ?
Enfin, le cadre juridique de la commande publique va évoluer prochainement, avec la révision des directives européennes engagée par la Commission européenne. Le 12 mai dernier, lors de notre déplacement à Bruxelles, nous avons eu confirmation que l'agenda de la Commission prévoyait une proposition législative a priori pour la fin de l'année 2026. Dans ce cadre, le gouvernement compte-t-il défendre un renforcement des exigences en matière de souveraineté numérique et l'affirmation, que nous appelons de nos voeux, d'une préférence européenne sur ce sujet comme sur tous les autres relatifs à la commande publique ?
Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique. -Votre commission d'enquête s'empare d'un sujet crucial, en raison du poids économique considérable de la commande publique - 170 milliards d'euros par an - mais aussi parce que c'est un levier stratégique au service de nos grandes priorités économiques, sociales et technologiques.
À titre liminaire, il est utile de rappeler que la politique de la commande publique est pilotée par le ministre de l'économie, des finances et de la souveraineté industrielle et numérique tandis que les achats de l'État relèvent plus particulièrement de ma collègue ministre chargée des comptes publics, Amélie de Montchalin. L'autorité sur la Dinum est quant à elle exercée conjointement par le Premier ministre et le ministre de la fonction publique et de la simplification.
Je partage avec vous une conviction forte qui, je crois, s'est reflété dans les travaux que vous avez menés jusqu'ici. La manière dont nous achetons nos solutions numériques, dont nous gérons nos données, dont nous assurons notre cybersécurité et dont nous ouvrons nos marchés est déterminante en matière de souveraineté numérique. Mais cette politique peut aussi constituer un outil de soutien à nos acteurs innovants - notamment aux PME innovantes et aux start-ups. C'est pourquoi nous avons appelé, encore récemment à l'occasion du sommet pour l'action sur l'intelligence artificielle, en février dernier, à se saisir collectivement de l'outil de la commande publique, comme privée, au bénéfice de notre compétitivité.
Il est nécessaire de protéger nos données sensibles. Le numérique prend une place prépondérante dans de nombreux aspects de notre quotidien et de nos services publics : les administrations, les opérateurs de l'État, les collectivités ont été engagées à s'appuyer sur des infrastructures numériques pour gagner du temps, réduire les coûts pour les finances publiques et assurer des services plus fluides aux usagers, ces évolutions permettent de mieux répondre, et de manière plus efficace, aux attentes des Français. Cependant, les bénéfices attachés à un usage renforcé du numérique ne doivent pas nous exonérer d'une vigilance accrue aux nouveaux risques et dépendances qu'il fait émerger.
En matière de protection des données sensibles, le Gouvernement a établi une ligne claire en articulant la doctrine « cloud au centre » avec la nécessité de mieux protéger nos données sensibles.
D'une part, la doctrine " cloud au centre " oriente les services publics vers un usage accru du cloud pour moderniser et rationaliser nos infrastructures numériques ; d'autre part, cette évolution est encadrée par une exigence renforcée de sécurité, notamment pour les données sensibles, en s'appuyant sur des solutions qualifiées SecNumCloud, qualification délivrée par l'Anssi. Aussi, seules les offres qualifiées SecNumCloud, , ou les hébergements internalisés et clouds interministériels peuvent héberger des données sensibles de l'État, qui sont celles qui doivent mobiliser une attention particulière.
En effet, les données exploitées ne présentent pas toutes le même degré de sensibilité. Le niveau d'exigence requis pour leur gestion doit donc être adapté à l'aune de ce critère.
Avec mes collègues Amélie de Montchalin et Laurent Marcangeli, nous avons jugé nécessaire, en avril dernier, de rappeler aux administrations la doctrine en matière d'hébergement de données. L'objectif est de vérifier que le niveau de sécurité atteint est suffisant, en fonction du degré de sensibilité des données.
L'article 31 de loi " Sren " précise le champ des données présentant une sensibilité particulière et prévoit qu'elles doivent être protégées contre tout risque d'accès non autorisé par des acteurs étrangers. Les ministères doivent donc s'assurer que les hébergements et applications - en particulier les solutions collaboratives, bureautiques et de messageries ou encore les solutions d'intelligence artificielle - utilisées pour le traitement des données sont conformes à ces exigences de protection, notamment lorsque ces dernières présentent une sensibilité particulière.
C'est un pas supplémentaire pour éviter les achats par défaut, mal encadrés, ou non conformes aux exigences de cybersécurité, mais aussi pour orienter l'achat public vers des solutions maîtrisées, sécurisées et conformes à nos priorités de souveraineté. Il requerra un engagement accru de la Dinum pour opérer ce contrôle.
Plusieurs fournisseurs sont d'ores et déjà labellisés SecNumCloud : Cegedim, Cloud Temple, Index Education, détenu par Docaposte, Oodrive, Outscale, OVH, Whaller et Worldline. Les offres Bleu et S3NS, deux projets français de cloud de confiance en partenariat avec des hyperscalers américains, ont également enclenché le processus de labellisation SecNumCloud. Il s'agit pour le premier d'une co-entreprise entre Capgemini et Orange, en partenariat avec Microsoft, et pour le second d'une filiale de Thales, en partenariat avec Google.
Le deuxième point que je souhaite aborder concerne notre souveraineté technologique et la nécessité de regagner en autonomie.
Il n'est plus possible d'ignorer les dépendances critiques que nous avons développées dans plusieurs segments clés du numérique : services d'hébergement de données, systèmes d'exploitation, logiciels de gestion ou composants stratégiques. L'Europe dépend massivement de solutions technologiques extra-européennes : 83% des dépenses numériques européennes - secteur public et secteur privé confondus - vont à des acteurs étrangers, pour un montant estimé à 264 milliards d'euros chaque année. Ce chiffre témoigne de la nécessité de mieux documenter nos dépendances actuelles. C'est dans cette optique que j'ai lancé la création d'un observatoire de la souveraineté numérique, en cours de préfiguration par le conseil général de l'économie (CGE). Cet outil doit nous permettre de mesurer précisément nos dépendances technologiques sur les chaînes de valeur, de cartographier les risques et d'évaluer les marges de manoeuvre. Son objectif est de tracer une trajectoire de réduction de nos dépendances à moyen terme, par secteur et par type d'infrastructure. Ce travail de transparence est indispensable pour éclairer les décisions publiques et privées.
Une fois nos vulnérabilités identifiées, nous devons soutenir l'offre nationale et européenne. La commande publique, comme privée, constitue un levier essentiel pour orienter nos choix et soutenir des solutions européennes ou nationales solides et crédibles.
Nous disposons déjà d'instruments sur lesquels nous pouvons nous appuyer. Dans le droit européen, il est possible de fixer des exigences en matière de localisation des données ; d'intégrer des critères environnementaux ambitieux ou encore d'imposer des normes de sécurité élevées, dès lors que ces exigences présentent un lien avec l'objet du marché et sont proportionnées à l'objectif poursuivi. C'est l'orientation que nous avons déjà adoptée avec l'exigence de certification SecNumCloud pour l'hébergement des données sensibles, ou encore à travers les stratégies d'achat ciblées que nous avons élaborées dans des secteurs prioritaires comme le matériel informatique reconditionné ou les bornes de recharge électrique.
Mais force est de reconnaître que nous devons aller plus loin. C'est pourquoi, au niveau européen, la France défend une position ambitieuse dans le cadre de la révision en cours des directives relatives à la commande publique.
Nous y portons plusieurs priorités structurantes : l'introduction d'une préférence européenne, en clarifiant la définition de l'origine des produits et services concernés ; le renforcement de la sécurité des approvisionnements, afin de consolider la résilience économique de nos chaînes de valeur ; enfin, la simplification du cadre juridique, pour faciliter l'accès de tous les acteurs économiques, notamment les plus innovants, aux marchés publics.
Il nous appartient de poursuivre, avec constance et détermination, le soutien au développement de nos filières stratégiques - un engagement de long terme, significativement renforcé depuis 2021 à travers le Plan d'investissement France 2030. Ce plan s'inscrit dans la continuité des stratégies nationales déployées sur plusieurs technologies critiques, telles que l'intelligence artificielle, la cybersécurité ou encore le cloud, avec pour objectif de favoriser l'émergence d'acteurs français compétitifs et pérennes.
À ce titre, un appel à projets dédié au cloud vise à accompagner le renforcement d'une offre souveraine de services sur le territoire national, en particulier dans les domaines du cloud de confiance et des services cloud au service de l'intelligence artificielle.
C'est également dans cette dynamique de structuration et de consolidation de nos filières que s'inscrit la signature du contrat stratégique de filière (CSF) pour la souveraineté numérique, conclu avec les ministres Philippe Baptiste et Marc Ferracci il y a quelques semaines. Cet engagement collectif incarne notre ambition partagée de bâtir une trajectoire résolument tournée vers l'indépendance technologique de notre pays.
Mon troisième point porte sur le défi majeur que représente l'accès à la commande publique pour nos start-ups et PME innovantes.
En 2024, seulement 2% des dépenses d'achat de l'État sont consacrées aux start-ups. Bien que ce chiffre ait progressé de 0,6 point par rapport à 2023, il reste insuffisant. Plusieurs grandes entreprises du numérique à l'échelle mondiale ont pu se développer - dès leurs débuts, puis tout au long de leur croissance - grâce à un appui structurant de la commande publique dans leur pays. Ce soutien leur a permis de prendre rapidement une avance significative et de conquérir de nombreux marchés à l'international.
Comment expliquer ce faible accès des start-ups à la commande publique ? Aujourd'hui encore, malgré la dématérialisation des procédures, les dispositifs d'achat restent souvent inaccessibles aux petites structures car la marche reste haute pour des entreprises dont les moyens sont par nature limités : ils sont complexes, longs, consommateurs en ressources humaines et favorisent de fait les grands groupes déjà bien établis. Pour y répondre, l'un des piliers du plan " Je choisis la French Tech »" est la formation des entreprises innovantes à la commande publique.
Pourtant, les start-ups françaises sont prêtes. Mistral, spécialisée dans les modèles d'intelligence artificielle générative, incarne une ambition européenne de souveraineté technologique en développant des alternatives aux géants américains de l'IA. Je pense aussi à Jus Mundi, société experte en recherche juridique assistée par intelligence artificielle. Ces entreprises illustrent la capacité de notre écosystème technologique à proposer des solutions performantes et compétitives dans des domaines stratégiques comme la cybersécurité, l'intelligence artificielle, le cloud, l'analyse de données ou les logiciels métiers.
Nous devons donc faciliter l'accès à la commande publique pour ces entreprises.
Concrètement, cela passe par la mise en place d'un cadre réglementaire stable, simple et prévisible, notamment via plusieurs mesures du projet de loi de simplification de la vie économique, telles que le relèvement durable des seuils de passation simplifiée à 143 000 euros pour les achats innovants, contre 100 000 euros actuellement ; la possibilité de réserver jusqu'à 15% des lots des marchés publics d'innovation aux jeunes entreprises innovantes (JEI). Je souhaite que ces mesures soient préservées dans la suite des débats sur ce texte, elles sont importantes pour notre écosystème.
L'accès à la commande publique passe aussi par le soutien accru aux expérimentations, comme les partenariats d'innovation façon Proqcima, porté par le ministère des armées, qui restent encore trop peu utilisés mais peuvent être de vrais leviers ; par le renforcement des dispositifs de sourcing et de formation, à l'image de l'initiative " Je choisis la French Tech ", pour favoriser une meilleure compréhension mutuelle entre start-ups et acheteurs publics. Il ne s'agit pas de créer des marchés de niche réservés aux start-ups, mais bien d'intégrer l'innovation dans le fonctionnement quotidien de l'administration.
Enfin, je souhaite insister sur un principe fondamental : notre souveraineté numérique ne doit pas se traduire par une méfiance excessive, ni par l'idée que nous devons systématiquement développer toutes nos solutions numériques en interne.
De nombreuses solutions conformes à nos exigences sont déjà disponibles sur le marché, et il faut en tirer pleinement parti. Lorsqu'une solution commerciale présente des performances, des coûts et une adaptabilité et maintenance équivalents, il est préférable de privilégier la contractualisation avec cette solution plutôt que de concevoir une solution interne à l'État, qui pourra s'avérer plus coûteuse et moins efficace à long terme. Notre priorité à la souveraineté doit en toute hypothèse être conciliée avec la nécessaire maîtrise de nos finances publiques.
M. Simon Uzenat, président. - Quand nous parlons de sujets de souveraineté, nous n'y associons pas uniquement les solutions développées par les services de l'État, mais bien l'ensemble de l'écosystème français et européen, des start-ups jusqu'aux plus grandes entreprises que nous avons auditionnées.
M. Dany Wattebled, rapporteur. - Merci pour cette présentation de votre feuille de route, elle est intéressante.
J'aimerais faire un commentaire d'ensemble sur nos travaux, et dire qu'il y a eu un " avant " et qu'il y aura un " après " notre commission d'enquête. Notre sentiment, c'est qu'au début de nos travaux, nous nous sommes bien fait « balader », chaque fois que nous abordions la question de la souveraineté numérique : chacun, de la ministre aux services, se renvoyait la responsabilité - et démontrait qu'en fait, il n'y avait pas de pilote dans l'avion. Nous avons entendu les entreprises. J'étais présent lorsque vous avez visité les locaux d'OVH à Roubaix et avez rencontré Octave Klaba. Il nous a dit comment l'hébergement des données de la plateforme du Health Data Hub (HDH) avait échappé à son entreprise - il nous a dit comment il l'avait appris entre deux portes, sans autre justification que ce ne serait pas pour son entreprise, que ça avait été fléché par Capgemini pour Microsoft.
Cela, c'était " l'avant ". Puis il y a eu le retour de Donald Trump, et l'administration a commencé à mesurer combien c'était dangereux de donner toutes nos données aux entreprises américaines, en termes de sécurité et aussi d'avantage économique. Nous avons eu confirmation - Microsoft nous l'a encore dit très clairement ce matin - que les sociétés américaines sont soumises à l'application des lois américaines extraterritoriales, et qu'elles ne sauraient donc s'opposer à une demande de l'État américain de leur transférer toute donnée en leur possession - ce qui signifie qu'en réalité, nous offrons des armes économiques aux Américains à travers tout contrat avec Microsoft.
On nous a dit, ensuite, que la France était en retard, mais que si on mettait un peu de moyens pour soutenir nos entreprises, la donne pourrait être changée - après tout, c'est ce qu'ont fait les Américains, et si on aime raconter que les start-ups américaines sont nées dans des garages, c'est bien la commande publique qui les a fait décoller.
Aussi, plusieurs questions se posent pour notre commission d'enquête. Dans le cadre de la commande publique, comment le Gouvernement s'assurera-t-il des choix technologiques, notamment pour les infrastructures critiques, privilégiant des exigences de souveraineté et d'indépendance stratégique ? La plateforme Place, qui centralise les marchés, est un outil clé pour la commande publique. Quels critères ont guidé le choix du prestataire CGI pour son développement et son exploitation ? Et comment ce choix s'inscrit-il dans une logique de souveraineté numérique ? Certains acteurs s'interrogent sur la capacité des prestataires étrangers à garantir la pleine souveraineté des données sur la plateforme Place. Quelles sont les garanties techniques et juridiques mises en place pour protéger les données sensibles transitant par cette plateforme ?
Mme Clara Chappaz, ministre déléguée. - La certification SecNumCloud est une réponse aux législations extraterritoriales et assure la protection des données, c'est extrêmement important dans le contexte géopolitique que nous connaissons.
Sur les données du HDH, vous connaissez le déroulement des choses et la situation que nous avons trouvée ; depuis son entrée en fonctions, le Gouvernement a engagé une réflexion sur l'avenir de son hébergement. La loi " Sren " a créé une obligation pour lui de recourir à un prestataire de services de cloud présentant des garanties de souveraineté, c'est très clair. Dans la situation actuelle, il n'y a pas de copie complète des données de l'assurance maladie sur le HDH - ce n'est d'ailleurs pas satisfaisant, puisque cela limite l'utilisation que nous pourrions en faire. Pour l'instant, c'est seulement pour des projets spécifiques, et sous validation de la Commission nationale de l'informatique et des libertés (Cnil), que certaines données de santé ont pu être transférées au HDH. Ces données doivent être à nouveau transférées sur un hébergement ultra sécurisé souverain, en l'application de la loi " Sren ". Nous travaillons sur ce dossier avec tous les acteurs concernés. Un appel d'offres vient d'être lancé par le ministère de la santé pour permettre l'hébergement des données sur un hébergement sécurisé, c'est ce qu'on appelle la solution intercalaire...
M. Dany Wattebled, rapporteur. - Dans quel délai sera-t-elle mise en place ?
Mme Clara Chappaz, ministre déléguée. - Elle pourrait débuter en 2026. Nous souhaitons aussi accompagner les fournisseurs de cloud français ayant obtenu la qualification SecNumCloud à répondre aux besoins d'hébergement et de calcul de la plateforme HDH et proposer une solution cible de confiance. Après cette période intercalaire, une fois que toutes les offres SecNumCloud seront disponibles, nous espérons poursuivre vers un hébergement souverain du HDH. Notre objectif est de veiller à la protection des données personnelles et des données de santé et de tirer tout le bénéfice de ce projet innovant qu'est la plateforme HDH.
La question de la souveraineté des données est cruciale. La doctrine est claire, mais il faut s'assurer qu'elle est comprise, connue et respectée. Dans le cadre du décret en préparation, la Dinum rencontre la Cnil cette semaine pour préciser les contours de la doctrine et garantir sa bonne application. Il faut commencer par comprendre nos vulnérabilités technologiques et cartographier nos achats pour mieux les piloter et mieux appréhender nos dépendances - le CGE et la direction des achats de l'État (DAE) y travaillent. La souveraineté numérique ne se limite pas à la sécurisation des données. Il faut mobiliser la commande publique pour diminuer nos vulnérabilités. Le projet de loi de simplification de la vie économique devrait aussi nous aider à mobiliser au maximum les outils à notre portée pour réduire nos vulnérabilités et travailler avec les acteurs de la technologie.
Notre priorité absolue est de porter la dynamique de préférence européenne dans le numérique, afin d'avoir plus de marge de manoeuvre pour réduire nos dépendances une fois que nous les avons comprises. C'est un travail qui nécessite du temps, mais je suis déterminée à avancer, car il s'agit à la fois de sécurisation des données, de souveraineté numérique et de politique industrielle. Lorsque les start-ups ont accès au marché, elles peuvent se déployer, vous l'avez rappelé avec l'exemple de la plateforme HDH.
Il est important de comprendre toutes les briques pour répondre précisément à la question de la souveraineté des données et des risques qu'il peut y avoir sur la plateforme Place. La décision de ne pas reconduire le contrat avec Atexo à son échéance, en 2024, a été prise au regard de la trajectoire définie par la DAE et l'Agence de l'information financière de l'État (AIFE), qui vise à renforcer la performance, la sécurité et la cohérence du système d'information de la commande publique. Cette décision tient compte de l'élargissement prévu de Place à de nouveaux acteurs publics, de l'intégration de services liés au programme de transformation numérique de la commande publique et des difficultés opérationnelles que certains acheteurs avaient pu rencontrer avec Atexo. Les écarts en matière de performance et d'efficacité dans l'exécution du marché avec Atexo ont conduit à sa non-reconduction.
M. Dany Wattebled, rapporteur. - CGI est-elle une entreprise à capitaux étranger ?
Mme Clara Chappaz, secrétaire d'État. - CGI est une entreprise canadienne, qui a une filiale française. Le contrat qui lui a été confié concerne la maintenance applicative, sans accès aux données. L'objectif est de répondre aux enjeux à court terme. CGI est déjà partenaire de nombreux services publics, étant le onzième fournisseur de l'État en 2023. L'entreprise s'appuie sur de l'open source et ne concerne pas les environnements qui traitent les données confidentielles. Les environnements de production qui reçoivent les réponses aux appels d'offres sont exploités par Open, une société française retenue via l'Ugap ; CGI n'a accès qu'à des environnements de test contenant des données fictives pour ses travaux de maintenance.
Je rappelle que le droit européen interdit de fonder un choix de prestataire sur le seul critère de la nationalité juridique d'une entreprise. La sécurité et la confidentialité des données sont encadrées par les clauses contractuelles.
Je partage vos préoccupations sur l'extraterritorialité des données et la capacité pour les acteurs étrangers de pouvoir accéder à nos données sensibles. Les risques en matière d'extraterritorialité du droit doivent être pris très au sérieux. Tout transfert de données en dehors des conventions de coopération est inacceptable ? La qualification SecNumCloud a été mise en place pour sécuriser nos données sensibles de l'État. Nous pouvons nous réjouir d'avoir des acteurs labellisés.
Je rappelle aussi que le RGPD interdit le transfert des données vers des pays tiers, sauf à respecter un certain nombre de conditions. TikTok a été condamné en première instance sur le fondement de cette législation européenne ; l'entreprise a fait appel, nous verrons ce que donnera le jugement. En tout état de cause, notre droit est très clair sur cette question du transfert des données.
M. Dany Wattebled, rapporteur. - Le récent contrat-cadre signé par le ministère de l'éducation nationale avec Microsoft, d'un montant potentiel de 74 à 152 millions d'euros, a suscité de nombreux débats. Comment ce choix a-t-il été justifié ? Quelles mesures sont-elles prévues pour réduire la dépendance aux solutions non européennes ?
Vous avez par ailleurs évoqué, lors de l'événement " L'État dans un nuage ", organisé par la Dinum, l'importance d'utiliser la commande publique pour favoriser les solutions européennes, voire françaises. Comment allez-vous concilier un tel objectif avec des partenaires existants et les géants technologiques américains ? Concrètement, comment renforcer les acteurs français et européens ?
Mme Clara Chappaz, ministre déléguée. - Le contrat signé par l'Éducation nationale avec Microsoft vise à permettre à l'administration de ce ministère puisse continuer à utiliser les logiciels des solutions informatiques de cette entreprise, comme Windows, Word, Outlook - dont les ordinateurs des agents sont majoritairement équipés ; cet accord-cadre n'implique aucun minimum d'achat et permet au ministère de renouveler les licences d'utilisation à un tarif préférentiel. Tous les ministères disposent de ce type d'accord, mais celui de l'Éducation nationale est particulièrement important puisqu'il porte sur plusieurs millions de postes de travail et de serveurs ; ce marché vient d'être renouvelé pour quatre ans, élargi aux organismes de recherche et universités qui souhaitent réaliser des économies d'échelle.
Cet accord-cadre ne change pas la doctrine de l'État concernant le stockage des données. Les données à caractère sensible du ministère doivent être stockées sur des serveurs internes hébergés en France ; celles qui ne sont pas sensibles peuvent être hébergées sur des clouds commerciaux.
J'entends parfaitement que le fait de confier un contrat de cette importance à un acteur non-européen pose question, dans le cadre de la commande publique. Cependant, alors que le marché privé choisit à 83% des solutions de cloud non européennes, l'État s'oriente pour 62% vers des solutions françaises et européennes. Pour aller plus loin, il faut valoriser les 15 offres françaises qualifiées SecNumCloud. J'ai demandé de procéder à une évaluation technique de ces solutions, car on nous oppose souvent qu'elles ne seraient pas au niveau : il faut les analyser, voir ce qu'il en est, ce travail est en cours. Nous faisons monter nos acteurs en compétences avec l'appel à projet cloud, qui est important aussi pour accompagner ces acteurs et déployer des fonctionnalités sur l'intelligence artificielle, et c'est l'occasion de voir comment favoriser ces acteurs dans le cadre de la préférence européenne.
Je partage votre analyse : nous dépendons de solutions non européennes et de certaines entreprises en particulier, et, dans le même temps, tout un écosystème européen et français, qui se développerait s'il accédait mieux à des commandes publiques - c'est l'enjeu qui est le nôtre. C'est pourquoi je plaide, dans le projet de loi de simplification de la vie des entreprises, pour rehausser le seuil de 100 000 à 143 000 euros, ce qui constitue une différence importante pour les PME ; de même, nous réserverons 15% de ces marchés à des acteurs de l'innovation, c'est le maximum qu'on peut faire dans le droit actuel.
Il y a aussi une dimension culturelle, c'est l'objet du programme " Je choisis la French Tech ", de former les start-ups à comprendre le code de la commande publique. Nous avons lancé cette formation avec la mission French Tech - en nous appuyant sur Open Classroom, une start-up française -, cette formation est certifiante : quand une start-up l'a obtenue, elle peut se présenter devant les acheteurs publics et ont apprivoisé la question. Nous avançons aussi par de la mise en relation : nous avons organisé une trentaine d'événements avec différents ministères, pour rapprocher l'écosystème de l'innovation et les acheteurs publics. Vous l'aurez compris, je défends une vision ambitieuse de la commande publique, c'est un levier de souveraineté numérique au niveau européen.
Avec les acteurs américains, nous avons deux projets de partenariat, S3NS et Bleu. La souveraineté numérique ne consiste pas à fermer les portes, mais à être clairs sur nos demandes et nos exigences. C'est le sens de SecNumCloud, qui porte haut le niveau d'exigence - que nous portons aussi à l'échelle européenne, avec le projet de certification européenne pour les services de cloud (EUCS) qui permettra aussi à nos acteurs de développer des fonctionnalités de confiance et de les vendre dans toute l'Europe. Si des acteurs américains ou d'autres nationalités veulent développer des offres et investir, c'est une bonne chose, à condition de ne pas être dépendant. C'est la même logique que nous appliquons à l'intelligence artificielle, en travaillant avec des partenaires pour attirer des capitaux, notamment étrangers, au service de notre écosystème.
M. Dany Wattebled, rapporteur. - Ma dernière question est prospective. Des informations circulent sur une commande possible de 120 millions d'euros par la Dinum à des grands cabinets de conseil comme Capgemini et McKinsey pour accompagner la rédaction du cahier des charges en vue de développer des solutions souveraines. Pouvez-vous confirmer ou infirmer cette information et, le cas échéant, nous éclairer sur les objectifs de cette démarche ? Le recours à des cabinets de conseil internationaux pour des projets stratégiques pose des questions de cohérence avec les objectifs de souveraineté. Quels critères la Dinum applique-t-elle pour sélectionner ses partenaires, surtout dans le cahier des charges qui oriente souvent le choix des prestataires ?
Mme Clara Chappaz, ministre déléguée. - Je ne dispose pas d'éléments précis sur ce marché de conseil que la Dinum s'apprêterait à passer, je me renseigne et reviens vers vous quand je dispose des éléments, je vous répondrai par écrit.
M. Simon Uzenat, président. - Avant fin de la semaine, si possible.
M. Jean-Luc Ruelle. - La formation " Je choisis la French Tech " Académie entend avoir un rôle d'incubateur de start-ups : quel est son taux de réussite, combien de start-ups en sont sorties, et quelle est leur place dans la commande publique ? En particulier, combien de marchés de l'Union des groupements d'achats publics (Ugap) ont été attribués à des start-ups depuis 2024 ? ?
Quels sont les retours concrets des acheteurs publics sur APProch ? Comment en mesurez-vous l'usage réel ?
Ensuite, quelles vous paraissent les obstacles les plus importants pour la participation des start-ups à la commande publique, et quelles mesures de simplification voulez-vous prendre pour lever ces obstacles ?
Mme Clara Chappaz, ministre déléguée. - Je n'aurai pas toutes les réponses, mais je m'efforcerai de les obtenir avant la fin de la semaine et de vous les fournir.
Le taux de transformation est un très bon indicateur, mais il est encore trop tôt pour l'établir, car nous avons lancé l'académie en février - il faut attendre au moins un an, nous suivons cela de très près et nous vous ferons passer les éléments ultérieurement.
Je ne sais pas vous répondre, sur l'Ugap, en nombre de contrats. Les start-ups représentent 2,4% de la commande publique, leur part a augmenté de 0,6 point. Avec " Je choisis la French Tech ", nous nous étions fixés comme objectif de doubler la part des start-ups dans l'achat public. Nous sommes sur une trajectoire de croissance et nous continuons à suivre les choses de très près pour tenir nos objectifs.
Quels obstacles à lever pour que les start-ups accèdent davantage à la commande publique ? Nous travaillons précisément sur ce sujet. Il y a une dimension culturelle indéniable, la formation " Je choisis la French Tech " a l'ambition de faciliter cet accès. Il y a aussi des éléments très concrets, comme les délais de passation des marchés, qui sont très longs par rapport à la vie des start-ups, les délais de paiement ou encore la lourdeur des procédures - l'objectif du projet de loi de simplification de la vie économique est précisément de les alléger. La simplification est une grande priorité de ce Gouvernement : cela vaut pour les start-ups, mais également pour toutes les petites et moyennes entreprises (PME).
M. Jean-Luc Ruelle. - Lorsqu'une start-up ou une PME obtient une commande publique, c'est souvent un aboutissement. Est-ce que vous suivez ou évaluez les résultats après 12 ou 24 mois, pour voir si l'entreprise se développe ?
Mme Clara Chappaz, ministre déléguée. - Cela fait partie des travaux en cours avec la DAE, nous voulons objectiver les choses, voir comment la commande publique participe du développement des start-ups et PME.
M. Michel Canévet. - La commande publique est un élément essentiel pour le développement d'acteurs économiques sur le territoire national. Le seuil pour les marchés publics va passer de 100 000 à 143 000 euros. Avez-vous d'autres mesures concrètes en préparation pour susciter un élan des acteurs français vers le numérique, l'intelligence artificielle et la cybersécurité ?
Avez-vous cherché à accompagner les acteurs européens afin qu'ils soient en mesure de répondre aux prescriptions nouvelles auxquelles de nombreux acteurs vont être astreints en application des directives du 14 décembre 2022, 2022/2557 sur la résilience des entités critiques (REC), 2022/2554 sur la résilience opérationnelle numérique du secteur financier (Dora), et 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS2) ?
Mme Clara Chappaz, ministre déléguée. - L'élévation du seuil à 143 000 euros et la part de 15% des marchés aux acteurs de l'innovation, sont des mesures très concrètes, que le Gouvernement soutient dans le projet de loi de simplification de la vie économique et qu'il espère voir perdurer - ce sera très utile pour l'accès des PME et des start-ups à la commande publique, ces mesures peuvent faire une vraie différence. Il y a également un volet réglementaire, par exemple sur les délais de paiement. Le ministère de l'économie examine ce qui pourrait être fait, pour faciliter la vie des PME.
Nous avons mobilisé les acteurs sur les questions de cybersécurité, les directives européennes que vous citez vont ouvrir les marchés, aussi bien le marché public que le marché privé. En effet, la grande majorité des 15 000 entités concernées par NIS 2 sont privées.
Les règles européennes ont évolué, nous nous mobilisons pleinement pour que ces changements bénéficient aux entreprises françaises, nous mobilisons l'ensemble de l'écosystème pour mettre en valeur ces opportunités et tire parti de la transposition de ces directives. En réalité, la barrière culturelle est souvent dans les deux sens : les acheteurs ne se tournent pas toujours facilement vers des solutions innovantes, mais les entreprises innovantes ne sont pas toujours à l'aise pour saisir les opportunités commerciales liées à des modifications législatives - d'où l'importance des mises en relation, qui ne manquent pas de se produire dans les événements que nous organisons. Nous avons également demandé une revue de l'Ugap pour s'assurer que tous les acteurs et les start-ups innovantes qui ont des solutions pertinentes dans la cybersécurité sont bien référencés.
M. Simon Uzenat, président. - Au cours de nos travaux, nous avons constaté que les discours étaient très volontaristes mais que les actes ne suivent pas. Il est peut-être temps de remplacer le concept de " données sensibles " par une approche plus efficace et simple, consistant à dire que les données publiques sont par définition sensibles. On peut imaginer une gradation, mais il faut protéger les données, ce pétrole du 21ème siècle
Nous avons le sentiment qu'on essaie de réduire progressivement le périmètre des données dites sensibles, en continuant d'héberger ailleurs qu'en France des données prétendument non sensibles, sans s'assurer de les immuniser contre les législations extraterritoriales - alors que ces données sont sensibles, en réalité, quand on les analyse. C'est le cas, par exemple, de la plateforme des données de santé (PDS), qui était initialement hébergée à Amsterdam. On veut nous rassurer en nous disant qu'il n'y a pas de risque avec ces législations, mais les responsables de Microsoft nous ont assuré ce matin même que ce n'est pas le cas. Nous constatons que des ministres ont été obligés d'écrire à leurs administrations pour leur rappeler qu'elles doivent respecter la doctrine " cloud au centre " et la souveraineté numérique, ce qui paraît surréaliste. Les décrets de la loi " Sren " n'ont toujours pas été publiés. Que de temps perdu ! Le Gouvernement dit depuis 2020 que le nécessaire sera fait dans les meilleurs délais pour la migration des données de la PDS, mais quand on regarde les choses de près, on voit que cela fait plus de sept ans que cela dure, et que les mesures utiles ne sont toujours pas prises.
Nous avons pris connaissance d'une note du 24 octobre 2023, à l'initiative de la PDS, qui est adressée au comité relatif à l'intelligence artificielle. Je vous lis un extrait de ses recommandations : " Exiger du gouvernement une position constructive, claire et de long terme concernant les exigences de souveraineté. Il s'agirait, d'une part, d'assurer de manière réaliste et pragmatique l'autorisation de l'utilisation de solutions étrangères afin de ne pas mettre en péril notre capacité d'innovation. D'autre part, il est nécessaire : soit de réellement de mobiliser des moyens financiers compatibles avec la montée en compétence des acteurs du cloud souverain, soit de reconnaître que la souveraineté ne pourra pas être atteinte sur toute la chaîne de valeur et d'en tirer les conséquences. " Cette position a le mérite de la clarté, mais ces paragraphes nous interpellent. C'est bien en raison d'un défaut de volonté politique et de moyens mis sur la table que les objectifs fixés ne sont pas atteints. Le 19 mai dernier, Madame la ministre, vous avez déclaré, lors du Grand débat sur la souveraineté numérique, que " la souveraineté numérique, c'est avoir le choix. Cela doit bien sûr être un choix économique rationnel ". Je souscris à la première partie de ce propos, mais je regrette que la commande publique, depuis 2019, n'ait pas accompagné cette ambition. Alors, je vous le demande, les yeux dans les yeux : quelle est l'ambition du Gouvernement - quel est votre cap ? Quelle a été votre réaction à la lecture de cette note du 24 octobre 2023, et celle de vos prédécesseurs ? Nous lançons un appel pour que les actes soient cohérents avec les discours - c'est ce qu'attendent les opérateurs économiques, qui ne comprennent pas pourquoi la puissance publique pédale dans la semoule.
Mme Clara Chappaz, ministre déléguée. - La volonté politique est forte, et c'est ce que démontre le courrier que nous avons envoyé aux administrations - il démontre notre volonté politique que la loi et la circulaire de la Première ministre soient pleinement respectées.
M. Simon Uzenat, président. - On peut y voir aussi le signe de ce que l'administration n'a pas intégré des dispositions pourtant claires - ce qui pose le sujet du pilotage de l'action publique en la matière...
Mme Clara Chappaz, ministre déléguée. - La volonté politique est entière et je l'assume, même si elle diffère peut-être de celle de mes prédécesseurs. Le contexte a changé et cette évolution est une opportunité pour réaffirmer et renforcer la souveraineté numérique. Les conséquences et les risques sont désormais très réels et plus visibles. J'ai interrogé l'administration sur les données sensibles publiques. Avec le SecNumCloud, nous sommes allés au maximum de ce qu'autorisent les règles de l'Organisation mondiale du commerce (OMC) - j'ai regardé de près si nous pouvions aller plus loin.
Mon premier combat consiste à assurer que nous respections ce que nous avons écrit. Ensuite, il faut regarder ce qu'il en est de certains dossiers, nous le faisons pour la plateforme du HDH, en lançant l'appel à projets pour une solution intercalaire. Les décrets de la loi « Sren » sont une priorité, une réunion est prévue cette semaine pour accélérer les choses.
M. Simon Uzenat, président. - Dans quel délai seront-ils adoptés ?
Mme Clara Chappaz, ministre déléguée. - Le plus vite possible, une fois que nous aurons tenu toutes les réunions nécessaires. Nous reviendrons vers vous avec plus de précision et les autres réponses.
L'appel à projets cloud a été un peu compliqué à lancer dans le contexte budgétaire actuel, nous l'avons fait parce que c'est une priorité, nous maintenons un budget pour la montée en compétence de nos offres cloud - les dossiers sont en cours de dépôt.
Le contexte géopolitique nous aide à faire entendre notre voix qui prône la souveraineté et qui a été longtemps bien seule au niveau européen ; la France soutient activement l'EUCS depuis ses débuts, nous avons été enfin rejoints par d'autres pays, notamment par l'Allemagne, qui a changé sa position. La souveraineté numérique était au coeur de toutes les discussions du dernier Conseil européen, chacun perçoit enfin sa dimension stratégique, au même titre que la défense - et la France est très volontariste sur cette question. Nous avançons avec l'Allemagne, qui a fait entendre une voix différente que celle qui a été longtemps la sienne en matière de sécurisation des données. Nous avançons aussi en format Weimar avec la Pologne et à l'échelle du Conseil tout entier.
D'après les échanges que j'ai eus avec mes prédécesseurs, je crois que cette position européenne est nouvelle. Cela me donne l'espoir, en tout cas la conviction que nous ne lâcherons pas sur ces questions-là et qu'aujourd'hui, il y a une opportunité à saisir.
Source https://www.senat.fr, le 24 juin 2025