Allez au contenu, Allez à la navigation

Le devoir de souveraineté numérique

1 octobre 2019 : Le devoir de souveraineté numérique ( rapport de commission d'enquête )

D. SE DONNER LES MOYENS DE LA SOUVERAINETÉ NUMÉRIQUE À TRAVERS UNE VÉRITABLE POLITIQUE INDUSTRIELLE281(*) SOUTENANT LE DÉVELOPPEMENT DES TECHNOLOGIES CLÉS.

Dès 2015, le Sénat a plaidé, dans une résolution européenne adoptée à l'initiative de notre collègue Catherine Morin-Desailly, pour « une véritable politique industrielle en faveur du numérique dans l'Union européenne »282(*).

Plusieurs personnes auditionnées par votre commission rejoignent cette recommandation, à l'image de Benoît Thieulin, selon qui « il est grand temps de se doter d'une véritable politique industrielle. Le plan Juncker allait dans la bonne direction, il était d'assez grande ampleur, mais il ne faisait pour ainsi dire pas de choix stratégiques. On peut tout à fait accepter que la raquette numérique ait des trous - encore faut-il, néanmoins, qu'il y ait une raquette ! Je pense, évidemment, au cloud. (...) Je pense également à la 5G. (...) Nous voyons aujourd'hui l'importance géopolitique stratégique de Galileo, qui, malgré des débuts difficiles, a été un succès. Je pense, enfin, à l'operating system ». De même, pour Thierry Breton, « l'Europe doit (...) lancer (...) une véritable politique industrielle ».

Votre rapporteur salue le fait que le secrétaire d'État chargé du numérique juge prioritaire de « faire émerger des champions » - à travers une politique transversale d'écosystème, et reconnaisse que « l'Europe et la France ne peuvent pas se permettre d'être absentes d'un certain nombre de technologiques critiques - intelligence artificielle, calcul quantique, blockchain, semi-conducteurs... ». De même, le ministre de l'économie et des finances a-t-il estimé devant votre commission que « sans maîtrise de ces ruptures technologiques, il n'y a plus de souveraineté politique ».

Il apparaît urgent de mener une revue précise de nos avantages et de nos faiblesses dans l'économie numérique, à l'image de ce qui avait pu être fait il y a maintenant sept ans par l'Inspection générale des finances283(*). Celle-ci pourrait être effectuée sous l'égide du Forum institutionnel.

L'identification des technologies clés et l'évaluation du positionnement des filières françaises sur ces technologies pourraient permettre :

- d'orienter les priorités d'investissement ;

- d'identifier les briques technologiques menacées, par exemple en raison de la fragilité financière de certaines entreprises, ou de leur dépendance vis-à-vis de fournisseurs étrangers critiques.

L'intervention publique directe et verticale doit être assumée. Afin de ne pas éparpiller les moyens, il convient cependant de retenir une approche graduée. En somme, tout en évitant de créer des solutions ex nihilo, il convient de capitaliser sur nos succès existants et de miser, d'une part, sur des solutions qui se différencient, d'autre part, sur les solutions d'avenir.

1. Sécuriser les approvisionnements et les solutions utilisées par les secteurs sensibles plutôt que créer ex nihilo des solutions déjà dominées par des acteurs prépondérants.
a) Les difficultés techniques et financières de créer des solutions ex nihilo sur des marchés déjà dominés.

Afin de rattraper le retard français et européen dans le développement de certaines solutions structurantes pour l'internet actuel, plusieurs personnes auditionnées ont défendu la nécessité, pour l'État, d'impulser la création de solutions venant concurrencer celles proposées par les Gafam.

C'est en particulier le cas du système d'exploitation (ou « OS », pour operating system) dit « souverain » - qu'on pourrait également appeler domestique, car il n'est considéré comme tel que parce qu'il serait développé par des acteurs français ou européens. Ainsi selon Pauline Türk, professeur de droit public à l'université Côte d'Azur : « il est nécessaire de développer un système d'exploitation et un moteur de recherche européens », de même, selon Benoît Thieulin : « il est indispensable de forger un operating system européen. Procéder sans cet outil, cela revient à faire la guerre sans chars ni fusils ». Un rapport sénatorial s'était d'ailleurs prononcé en faveur d'une telle solution au niveau européen en 2014284(*).

En revanche, d'autres personnes auditionnées ont estimé qu'il ne serait pas raisonnable, pour l'État, de se lancer dans un tel programme industriel. Le secrétaire d'État chargé du numérique Cédric O a ainsi renvoyé la responsabilité de la création d'un tel système d'exploitation au privé285(*) : « nous aurons un OS européen le jour où un acteur privé européen sera capable d'un investissement comparable à celui réalisé par Google, Microsoft ou Apple. (...) n'oublions pas que c'est l'usager qui tranche : inutile de mobiliser autant de fonds si nos concitoyens préfèrent in fine utiliser celui des concurrents privés américains... ». De même, Jean-Gabriel Ganascia, président du comité d'éthique du CNRS, a alerté sur le fait qu'un tel système « serait peu utilisé » et a souligné que le rapport de la Cerna286(*) sur la souveraineté à l'ère du numérique rappelle, de façon générale, « les difficultés qu'il y aurait à revendiquer ces solutions techniques comme étant la solution au problème posé par la souveraineté numérique ».

Des critiques à propos d'un tel projet avaient déjà émergé suite à l'adoption de l'amendement relatif à l'étude de faisabilité de la création d'un commissariat à la souveraineté numérique adopté dans le cadre de l'examen de la loi pour une République numérique287(*). Le rapport étudiant la possibilité de créer un tel commissariat considère que « hormis le cas particulier de la Chine, peu d'acteurs peuvent espérer s'imposer sur un terrain qui est déjà occupé » et estime « illusoire de vouloir développer un OS souverain au-delà de la sphère strictement régalienne ». Des journalistes avaient estimé le coût de développement d'un tel système d'exploitation entre 831 millions et 1,04 milliard d'euros288(*). Enfin, le directeur général de l'Agence nationale de sécurité des systèmes d'information avait également estimé que développer un nouveau système ex nihilo relevait du non-sens d'un point de vue technique.

Votre rapporteur rejoint ces analyses : il apparaît déraisonnable que l'État impulse le développement d'une solution en ne partant de rien. Un tel programme serait trop coûteux, et risquerait de ne pas trouver son marché face à l'avance prise par le duopole constitué par Google et Apple.

On peut ainsi rappeler l'échec du projet de cloud souverain lancé au début des années 2010. Dans le cadre du programme d'investissements d'avenir, l'État a investi dans deux projets rivaux de « cloud souverain » : Cloudwatt, d'Orange et Thalès, et Numergy, de SFR et Bull - en choisissant de ne pas inclure OVH, acteur pourtant déjà très développé du cloud. Il s'agissait, selon la ministre déléguée à l'Économie numérique alors en poste, de « restaurer la souveraineté numérique de la France »289(*) en mettant à l'abri des règlementations étrangères les données de l'État et des entreprises. Le projet lancé en 2010 a été poursuivi par les Gouvernements successifs jusqu'à son échec en 2016, faute d'adhésion du marché. Selon la presse, l'État aurait perdu 56 millions d'euros290(*). Fin juillet dernier, Orange a annoncé officiellement la fermeture de Cloudwatt au 1er février 2020.

Du reste, on peut relever que même Microsoft a échoué à développer un système d'exploitation susceptible de concurrencer le duopole constitué sur ce secteur.

Enfin, il est intéressant de constater que M. Pierre Bellanger291(*), qui prônait, dans son ouvrage sur la souveraineté numérique, la réalisation d'un système d'exploitation souverain, semble avoir changé d'avis sur ce point. En effet, il a plutôt plaidé, devant votre commission, en faveur d'un encadrement des systèmes d'exploitation par des règles qui nous sont propres. Chiffrement des données et règles constitueraient les deux briques d'une « nationalisation des données, c'est-à-dire la création d'un bien commun souverain protégé par une frontière et administré par une règle commune imposée aux acteurs entrants ».

Ainsi, comme l'a écrit l'actuelle présidente de la Commission européenne, « il est peut-être trop tard pour reproduire des géants du numérique, mais il n'est pas trop tard pour atteindre la souveraineté technologique dans certains secteurs technologiques critiques »292(*).

b) Sécuriser les approvisionnements et les solutions utilisées par les secteurs sensibles

Face aux difficultés de créer des solutions ex nihilo, il convient néanmoins de développer des solutions technologiques pour les activités relevant directement de notre souveraineté, à savoir les ministères les plus régaliens de l'État et, éventuellement, les opérateurs d'importance vitale au sens du code de la défense.

Sur ce point, on peut citer l'exemple du système d'exploitation Clip OS développé pour l'État et aujourd'hui ouvert aux secteurs sensibles. Basé sur un noyau Linux293(*) et capable de gérer des informations de plusieurs niveaux de sensibilité, Clip OS est à présent disponible en open source dans le cadre d'un projet de développement collaboratif. L'exemple de l'application Tchap est également intéressant. Selon les termes du Dinsic : « une messagerie instantanée garantissant que les données échangées entre agents publics, cabinets ministériels ou parlementaires ne se baladent pas aux quatre coins du monde nous a semblé indispensable ».

Sur les secteurs industriels dans lesquels nous ne disposons d'aucune capacité de production, il convient de s'assurer de notre sécurité d'approvisionnement. On peut citer l'exemple de l'actuelle dépendance de la France et de l'Europe envers les États-Unis et certains pays d'Asie (Taïwan, Corée du sud) pour la conception et la fonderie de composants numériques avancés. Selon la direction générale des entreprises, à court et moyen terme, l'acquisition d'une capacité de fonderie avancée en Europe serait aujourd'hui trop coûteuse - dépassant les 10 milliards d'euros - et ne serait pas rentable face aux perspectives de marché des producteurs européens. Il convient donc, à ces échéances, de s'assurer d'une diversité de fournisseurs. Des réflexions sont engagées au niveau européen, sous l'égide de la Commission notamment, pour identifier des axes de limitation de cette dépendance.

Enfin, il convient de s'assurer de la sécurité des solutions commercialisées sur notre sol par les entreprises étrangères. C'est notamment le choix opéré par la France sur les équipements des réseaux 5G.

La sécurisation des réseaux mobiles de cinquième génération

La cinquième génération de standards de télécommunications mobiles, appelée « 5G »294(*) promet un changement d'échelle dans les capacités des réseaux (débits multipliés par dix, temps de latence divisé par dix, plus grande flexibilité du réseau, plus grande efficacité énergétique...). On en attend également d'importantes retombées économiques (250 milliards d'euros par an en 2025 pour les opérateurs295(*)), mais surtout le développement de nouveaux usages particulièrement critiques pour la vie économique d'un pays : « usine du futur », véhicule connecté, internet des objets, téléchirurgie, ville connectée...

Comme cela a pu être décrit dans le rapport de Catherine Procaccia296(*), une véritable « course » à la 5G est donc engagée dans le monde entier. Le Gouvernement entend y prendre part grâce à la mise en oeuvre de sa feuille de route « 5G ». Mais la criticité des usages nécessite également de rehausser le niveau d'exigence en termes de sécurité de ces réseaux : c'est l'objet de la loi n° 2019-810 du 1er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles.

La France est ainsi l'un des premiers pays à avoir officialisé sa position sur le sujet : elle a fait le choix de ne pas interdire tel ou tel équipementier, malgré les pressions exercées par le Gouvernement américain sur ses alliés en cas d'autorisation de déploiement d'équipements de la marque Huawei297(*). La loi met ainsi en place un régime d'autorisation préalable à l'exploitation de certains équipements considérés comme « à risque » et listés par arrêté du Premier ministre298(*). Cette autorisation est octroyée par le Premier ministre, après instruction du Secrétariat général de la défense et de la sécurité nationale et de l'Agence nationale de la sécurité des systèmes d'information. Tout prestataire des opérateurs sous influence étrangère sera soumis à une forme de surveillance renforcée, car c'est un indice que le Premier ministre devra prendre en compte pour autoriser ou non l'exploitation d'un équipement par un opérateur.

En mars dernier, la Commission européenne a publié des recommandations299(*) visant à s'assurer qu'il n'y aura pas de « maillon faible » sur le territoire européen : cette année, à une phase d'évaluation des risques, devra succéder une phase d'élaboration d'une « boîte à outils » susceptibles de faciliter la mise en oeuvre de mesures nationales. Cette démarche pourrait éventuellement aboutir, entre autres, à un dispositif commun de certification des équipements 5G.

Votre rapporteur se satisfait de cette approche pragmatique, qui permettra à l'État de s'assurer de la sécurité des réseaux 5G et, ainsi, de garantir, sur ce point, la souveraineté de ces infrastructures.

2. Assumer le soutien direct au développement des technologies et outils dont la France doit avoir la maîtrise technique.

La France et l'Europe doivent assumer une stratégie de soutien direct à la recherche et aux entreprises du numérique selon la logique suivante :

- bâtir à partir de l'existant pour conquérir de nouveaux marchés ;

- sur les marchés déjà dominés par les géants du numérique, n'envisager de soutenir une solution concurrentielle que si elle repose sur une stratégie de différenciation ;

- investir dans les marchés d'avenir.

Cette stratégie pourrait être définie dans le cadre du forum institutionnel temporaire du numérique et de la loi d'orientation et de suivi de la souveraineté numérique, ce qui permettrait d'associer l'ensemble des forces vives du numérique. Il serait en effet trop risqué de faire reposer sur un ministre l'identification des technologies d'avenir ou, pour reprendre les termes du ministre de l'Economie et des Finances, des technologies de rupture300(*).

a) Préserver et soutenir la base économique existante

Le rapport de l'inspection générale des finances publié en janvier 2012 et relatif au soutien à l'économie numérique et à l'innovation a dressé une typologie du coeur de l'économie numérique, qui représentait 5,2 % du PIB et 3,7 % de l'emploi en 2011. Si la France dispose de certains atouts dans les technologies de base et les infrastructures301(*), les services de télécommunications, les applications et les services informatiques, elle est, en revanche, plus faible sur l'économie du net.

S'agissant des technologies de base et des infrastructures, la France dispose d'une base industrielle d'excellence qu'il convient de préserver et de développer.

C'est particulièrement le cas des câbles terrestres de fibre optique, marché sur lequel les entreprises Acome, Nexans et Prysmian sont soit françaises soit implantées en France302(*). S'agissant des câbles sous-marins Alcatel Submarine Networks, filiale de Nokia depuis le rachat d'Alcatel-Lucent en 2015, dispose à la fois de capacités de production en France concernant tant les câbles que les terminaux optiques, et de navires permettant d'assurer la pose et la maintenance des câbles (Orange Marine est également un acteur majeur de ce dernier secteur d'activité), en particulier en matière de terminaux optiques. Pour votre rapporteur, il est crucial de préserver ces compétences en France.

En matière de composants électroniques303(*), le franco-italien ST Microelectronics, Gemalto et sa maison-mère Thales ou encore la filiale du CEA Soitec disposent toujours de capacités avancées de production304(*). La poursuite du soutien à ce secteur à travers les plans « Nano » successifs305(*) est primordiale. Comme le rappelait une annexe du rapport d'inspection sur le soutien à l'économie numérique et à l'innovation publié en janvier 2012, « les composants sont au centre de l'économie numérique dont ils assurent le moteur et la mémoire et sont intégrés à la plupart des équipements professionnels et grand public ». Dans sa contribution écrite, le Cigref a estimé que « en matière de souveraineté technologique, l'un des domaines prioritaires, et bien souvent ignoré, concerne l'industrie du silicium, des processeurs et des composants », considérant que les Etats-Unis, comme la Chine, la Russie ou Israël travaillent eux aussi à maintenir ou à obtenir leur autonomie stratégique en la matière. ST Microelectronics a également précisé, dans sa contribution écrite, que la Chine annoncé un investissement de 150 milliards de dollars pour soutenir son industrie des composants électroniques. Il est donc primordial de poursuivre le soutien public à ce secteur.

En matière de supercalculateurs306(*), Atos est le seul industriel européen encore en mesure de les concevoir et de les fabriquer. Il fournit notamment le calculateur du CEA pour le programme de dissuasion.

Une résolution européenne adoptée par le Sénat à l'initiative de la commission des affaires européennes307(*) rappelle en quoi ce secteur est déterminant pour la souveraineté numérique de la France et de l'Europe, notamment dans la mesure où « la majorité des composants sont étrangers, à l'image des processeurs pour lesquels les entreprises américaines sont en quasi situation de monopole »308(*), et qu'il convient de soutenir l'initiative EuroHPC lancée par l'Union européenne. Devant votre commission, Thierry Breton estimait également que les processeurs utilisés par les supercalculateurs d'Atos « sont essentiellement américains, taïwanais et sud-coréens. L'industrie européenne, avec STmicroelectronics, existe, mais nous sommes très loin de réaliser les processeurs spécifiques aux supercalculateurs. La Commission a fini par débloquer 250 millions d'euros dans le cadre d'un programme de développement d'un processeur purement européen, dont Atos est le chef de file. Bien qu'insuffisant, c'est un début. Pour être efficaces et pour faire face à la concurrence internationale, ces financements doivent être plutôt concentrés sur un petit nombre d'acteurs ». Il convient de s'assurer de la réussite de ce programme, essentiel à l'indépendance technologique de l'Europe.

Le programme EuroHPC309(*)

L'Union européenne a mis en place, fin 2018, l'entreprise commune européenne pour le calcul à haute performance (EuroHPC). Cette structure a pour objectif de mettre en commun les ressources de 25 pays européens en vue de :

- l'achat, dès 2019, de deux calculateurs pré-exaflopiques, le niveau le plus avancé actuellement, pour les mettre à disposition des chercheurs et des entreprises ;

- lancer un programme de recherche et d'innovation dans le calcul à haute performance pour développer un écosystème européen intégré couvrant toute la chaîne de valeur scientifique et industrielle, et notamment « le matériel informatique, les logiciels, les applications, les services, l'ingénierie, le savoir-faire et les compétences ».

La structure est dotée d'un budget d'un milliard d'euros, provenant à parts égales du budget de l'Union européenne et des États membres participants. Des partenaires privés apporteront des ressources complémentaires à hauteur de 400 millions d'euros. Sur le long terme, la Commission envisage d'investir 2,7 milliards d'euros.

Dans le cadre de cette structure, l'European processor initiative (EPI) a été lancée en décembre 2018 en vue d'amener sur le marché un processeur basse consommation et de s'assurer que les compétences essentielles pour la création d'un composant haut de gamme restent en Europe. L'initiative regroupe 26 partenaires publics et privés et sera dotée d'environ 120 à 130 millions d'euros de budget. Mais aucun financement n'est prévu pour le prototypage et la mise en fabrication du microprocesseur. La société Sipearl a donc été créée par les principaux cadres de l'EPI en vue de réunir ces financements. L'EPI a attiré l'attention de votre rapporteur sur les difficultés qu'elle rencontre à obtenir ces financements (estimés à 100 millions d'euros) et sur la nécessité que les bailleurs de fonds publics y participent. Votre rapporteur déplore que les grands fabricants européens de microprocesseurs n'aient pas souhaité participer à cette initiative, de sorte que, même si la propriété intellectuelle restera européenne, la fabrication sera taïwanaise (société TSMC).

Sources : Commission européenne, communiqué de presse, 28 septembre 2018 et contribution écrite de l'European processor initiative.

Dans les secteurs du logiciel, de la programmation, du conseil et des services informatiques, la France dispose également d'entreprises très performantes, qu'il s'agisse de l'édition de logiciels (Dassault systèmes), du conseil en activités informatiques (Capgemini), des activités de cybersécurité (Atos, Orange, Thales), ou du jeu vidéo (Ubisoft).

Même si, l'Europe et la France n'en sont pas leaders, il convient de souligner la réussite de certains acteurs de l' « économie du net », tels que vente-privée.com, Criteo, Blablacar, le groupe Webedia ou leboncoin.fr. Ces réussites doivent être valorisées et soutenues, notamment dans leur internationalisation.

Tous ces pôles d'excellence doivent être encouragés afin de ne pas reproduire les difficultés connues par le secteur des équipements de télécommunications européens durant les années 2000310(*).

Enfin, dans un objectif de préservation de notre base économique, il convient de saluer l'adoption du décret du 29 novembre 2018 relatif aux investissements étrangers soumis à autorisation préalable311(*) qui intègre au dispositif de contrôle des investissements étrangers en France de nombreux pans du numérique, tels que la cybersécurité et, dans certaines conditions, les semi-conducteurs ou encore l'intelligence artificielle. Comme on le verra ci-dessous, il convient cependant de ne pas systématiquement, et dans tous les secteurs du numérique, assimiler financement par des fonds étrangers et perte de nos actifs stratégiques.

b) Cloud et intelligence artificielle : une stratégie basée sur la différenciation

Reproduire des technologies existantes dans un domaine où les américains bénéficient d'une position dominante ne semble à ce jour possible qu'en adoptant une stratégie de différenciation dans l'offre proposée, soit par une innovation, soit par une technologie de rupture, pour établir un avantage concurrentiel.

Cela revient notamment à encourager les solutions conformes aux valeurs européennes, c'est-à-dire respectueuses de la vie privée des utilisateurs, qui intègrent un principe de « privacy by design », autrement dit, un respect de la vie privée dès la conception.

Cette stratégie est retenue par plusieurs acteurs français tels que :

- le moteur de recherche Qwant, qui tente de se frayer une place sur ce marché à travers un modèle protecteur de la vie privée des utilisateurs, et qui bénéficie du soutien financier de la Caisse des dépôts et consignations (CDC) ;

- la place de marché Dawex, qui se différencie des courtiers en données (data brokers) en garantissant le respect des réglementations en vigueur selon le territoire de production et d'exploitation des données, et dont le projet de bourse mondiale des données est soutenu par la CDC ;

- Whaller, plateforme de réseaux sociaux et collaboratifs sécurisés.

À ce jour, le Gouvernement semble concentrer ses efforts sur deux secteurs en particulier : ceux du cloud et de l'intelligence artificielle.

(1) Le « cloud de confiance » : une initiative bienvenue mais qui tarde à se concrétiser.

Le marché mondial du cloud est dominé par quatre acteurs américains : Amazon Web Services (AWS), Microsoft, Google et IBM, à l'exception de la Chine où les entreprises chinoises (Baidu, Alibaba, Tencent, Huawei) dominent chacune des segments de marché du cloud. La France comprend plusieurs champions sur les couches infrastructure (IaaS ou Infrastructure as a service)312(*) du cloud (OVH, Atos, Orange Business Services ou encore Outscale), qui s'appuient sur un marché national en forte expansion pour attaquer le marché international.

Selon la direction générale des entreprises, si la France est compétitive sur le marché du IaaS malgré la forte croissance des parts de marché des acteurs américains, le marché des services applicatifs (SaaS ou Software as a service)313(*) est quant à lui dominé par les américains, reléguant les champions français Cegid et Oodrive aux cinquième et neuvième places mondiales.

Pour y remédier, la direction générale des entreprises pilote des travaux visant à faciliter l'émergence d'un marché de confiance du cloud, c'est-à-dire à proposer aux entreprises ainsi qu'à la puissance publique des offres diversifiées, performantes et sécurisées. Ces travaux ont vocation à promouvoir les offres cloud européennes se différenciant par leur niveau de confiance. Contrairement au projet de « cloud souverain » déjà évoqué, l'initiative vise, dans un marché qui a aujourd'hui atteint une bonne maturité, à s'appuyer sur des fournisseurs et des offres déjà exposés au marché, si nécessaire en ajustant ces offres pour répondre au besoin. Dans sa contribution écrite, le Cigref, en tant que représentant d'entreprises utilisatrices de solutions numériques, a souligné la pertinence d'une mutualisation de leurs besoins de cloud de confiance avec ceux de l'Etat, estimant que cela permettra de disposer d'une masse critique suffisante pour garantir la pertinence d'une offre européenne. Il estime d'ailleurs qu'une telle mutualisation pourrait être envisagée pour des besoins logiciels, comme les suites collaboratives.

Cette approche viendrait prolonger la labellisation des solutions cloud mises en oeuvre depuis 2014.

La labellisation des solutions cloud par l'Anssi

En 2014, un rapport de notre collègue Catherine Morin-Desailly appelait à « définir une classe de services labellisés « Secure cloud », faisant l'objet de cahiers des charges stricts et protecteurs, et à promouvoir un acteur européen compétent pour émettre des certificats de sécurité correspondants »314(*), solution qui avait également été proposée par Octave Klaba et Thierry Breton dans le cadre des 34 plans de « reconquête industrielle » lancés Arnaud Montebourg en 2013.

En 2014, l'Anssi a testé en conditions réelles les exigences fixées dans la première version du référentiel, alors baptisé Secure Cloud. En décembre 2016, le référentiel SecNumCloud a été officiellement lancé. Il a été modifié en 2018 afin de prendre en compte le RGPD. Il conjugue des exigences relatives au prestataire de service d'informatique en nuage, à son personnel ainsi qu'à la localisation des données client au sein de l'Union européenne - échelle territoriale de référence - et au droit applicable à ces données.

Par ailleurs, il convient de noter que la doctrine d'utilisation de l'informatique en nuage par l'Etat a été formalisée par une circulaire du Premier ministre en date du 8 novembre 2018. Elle distingue trois cercles selon la sensibilité des informations : le cloud interne à l'Etat, le cloud dédié - c'est-à-dire fourni par un prestataire mais personnalité, et le cloud externe, composé d'offres génériques.

L'objectif du Gouvernement est désormais de « disposer de premières propositions de mise en place d'un cloud sécurisé (...) d'ici la fin de l'année 2019 »315(*), depuis rebaptisé « cloud national stratégique »... L'initiative du Gouvernement paraît toutefois difficilement lisible et tarde à se mettre en place.

Lors de son audition par votre commission, l'entreprise OVH a souligné la nécessité de renforcer la transparence sur le marché du cloud : tout appel d'offre - public ou privé - devrait comporter une clause sur la localisation des données stockées et sur le droit qui leur est applicable, ce qui n'est pas le cas aujourd'hui.

Par ailleurs, votre rapporteur souligne la nécessité d'anticiper le changement majeur à venir pour le stockage des données informatiques, à savoir le passage de 80 % des données stockées dans le cloud à 80 % des données stockées en edge computing, ou « informatique en périphérie » en raison du développement exponentiel des objets connectés (tels que les montres, les enceintes et les assistants connectés ou encore les véhicules autonomes, etc...). L'État doit dès maintenant se doter d'une stratégie claire sur ce sujet.

Qu'est-ce que le edge computing ?

Ce terme désigne une architecture de technologie d'information distribuée qui se caractérise par une puissance de traitement décentralisée. Le edge computing permet de traiter des données de façon directe par le périphérique qui les produit (ou par un ordinateur local). Il n'est, dès lors, plus nécessaire de transmettre les données à un centre de données distant afin de pouvoir les traiter.

Par rapport au cloud computing, cela revêt trois principaux avantages provenant justement de l'absence de transmission du point d'émission des données au point de stockage et de traitement : une réduction du temps de latence du traitement de l'information, un meilleur niveau de sécurité et une réduction des coûts. Sur le premier point, Thierry Breton donnait, devant votre commission d'enquête, l'exemple du véhicule autonome et rappelait qu'Atos se positionne déjà sur ce segment de marché.

Source : www.journaldunet.fr

(2) L'intelligence artificielle : l'émergence trop lente d'une stratégie nationale.

La stratégie française en intelligence artificielle correspond également à une forme de différenciation fondée sur le volet éthique.

Elle met cependant beaucoup trop de temps à se mettre en place. Annoncée en mars 2018, son volet « recherche » n'a été défini qu'en novembre et son volet économique... en juillet 2019 ! Il est donc permis de penser, au regard de la rapidité de l'innovation en la matière, que ces délais sont bien trop longs.

De plus, comme le remarquaient les rapporteurs de la commission des finances et de la commission des affaires économiques sur le projet de loi de finances pour 2019, les moyens financiers alloués apparaissent limités au regard de ceux dégagés par les États-Unis et la Chine. Devant votre commission, le secrétaire d'État en charge du numérique rappelait ainsi que « les grandes entreprises américaines investissent chaque année 30 à 40 milliards d'euros, tout comme les entreprises et l'État chinois, selon les chiffres de 2016. Le montant investi par l'Europe dans son ensemble ne s'élève lui qu'à 4 ou 5 milliards d'euros ».

La stratégie nationale en intelligence artificielle

L'initiative France IA a permis, dès début 2017, de faire le point sur la situation de la France en matière d'intelligence artificielle (IA). Le Président de la République issu des élections de mai 2017 a néanmoins souhaité poursuivre la réflexion. C'est pourquoi il a confié en septembre 2017 à notre collègue député Cédric Villani une mission sur la stratégie française et européenne en intelligence artificielle. Le rapport intitulé Donner du sens à l'intelligence artificielle : pour une stratégie nationale et européenne a été publié le 29 mars 2018, à l'occasion de la conférence intitulée AI for humanity.

Le même jour, le Président de la République annonçait la stratégie nationale pour l'intelligence artificielle, avec pour ambition de mobiliser 1,5 milliard d'euros en cinq ans et tenant quatre grands axes :

- conforter, en France et en Europe, l'écosystème de recherche en IA ;

- engager une politique d'ouverture des données ;

- adapter le cadre réglementaire et financier, national et européen ;

- définir les enjeux éthiques et politiques de l'IA.

Un coordinateur national rattaché à la direction interministérielle des systèmes d'information et de communication (Dinsic) est chargé de lancer et de superviser la mise en oeuvre du plan d'action dans toutes ses composantes.

La stratégie nationale de recherche en intelligence artificielle a été présentée par le Gouvernement le 28 novembre 2018316(*).

Elle sera financée par l'État à hauteur de 665 millions d'euros entre 2018 et 2022. Elle se déploie en six axes :

- déployer un programme national pour l'IA piloté par l'Inria, qui s'appuiera notamment sur le réseau des instituts interdisciplinaires d'intelligence artificielle (instituts 3IA) ;

- lancer un programme d'attractivité et de soutien aux talents (création de 40 chaires à partir de 2019 ; doublement du nombre de docteurs formés en intelligence artificielle) ;

- dynamiser la recherche en IA à l'Agence nationale de la recherche (ANR), en fléchant 100 millions d'euros jusqu'en 2022 au sein des financements mobilisables par l'Agence ;

- renforcer les moyens de calcul (installation d'un nouveau supercalculateur sur le plateau de Saclay, accès au calcul facilité pour l'ensemble de la communauté de recherche) ;

- renforcer la recherche partenariale (65 millions d'euros seront investis par l'État d'ici 2022 pour porter le volume total des projets à au moins 130 millions d'euros) ;

- renforcer les coopérations bilatérales, européennes et internationales (renforcement de la collaboration franco-allemande, soutien à une stratégie ambitieuse de l'Europe en IA).

Le volet économique de la stratégie nationale de recherche en intelligence artificielle a été présenté par le Gouvernement le 3 juillet 2019317(*).

Elle se décline en trois axes :

- faire émerger des champions de l'IA français, notamment dans les secteurs clefs tels que l'environnement, la santé et la sécurité, à travers des Challenges IA (5 millions d'euros) et les grands défis financés par le Fonds pour l'innovation et l'industrie (100 millions d'euros au total) - diagnostics médicaux, transparence et auditabilité des systèmes autonomes à base d'intelligence artificielle, automatisation de la cyber-sécurité ;

- stimuler la demande via le soutien de la diffusion de l'IA dans tous les secteurs et sur tout le territoire : 250 millions d'euros ont été mobilisés au travers du Programme d'Investissements d'Avenir (PIA) pour financer des projets structurants dédiés à l'IA ; la direction générale des entreprises, en concertation avec les acteurs institutionnels et économiques français, accompagne la démarche de normalisation en matière d'IA ;

- poser les bases d'une véritable économie de la donnée, via l'appel à projets destiné à cofinancer des initiatives de mutualisation de données et le Health Data Hub déjà évoqués.

Au niveau européen, la Commission européenne a publié le 25 avril 2018 une communication intitulée L'intelligence artificielle pour l'Europe. Le Sénat a approuvé cette communication et a appelé à la création d'un « projet important d'intérêt européen commun » (Piiec)318(*) pour l'intelligence artificielle, sur le modèle du plan Nano 2022 en nanoélectronique319(*). Cette recommandation est toujours d'actualité. Devant votre commission, le ministre de l'Économie et des Finances a confirmé travailler sur ce sujet avec son homologue allemand en vue de formuler des propositions dans les mois qui viennent. Votre rapporteur s'en réjouit et souligne la nécessité d'aller vite sur ce sujet.

La maîtrise de l'intelligence artificielle et son développement sont cruciaux pour l'ensemble des secteurs d'activité. C'est, par exemple, le cas du secteur automobile qui devra maîtriser cette technologie pour tirer profit de l'évolution du marché vers le véhicule autonome. En 2017, un rapport d'inspection sur le véhicule autonome320(*) constatait que « la France n'a pas encore atteint, dans plusieurs domaines, un niveau de préparation suffisant ». C'est pourquoi une stratégie nationale dédiée au véhicule autonome a été publiée en mai 2018 sous l'égide d'Anne-Marie Idrac, Haute responsable pour la stratégie de développement du véhicule autonome.

c) Développer les technologies d'avenir : ordinateur quantique et blockchain

Une stratégie industrielle se doit également d'investir dans les secteurs d'avenir où, pour l'instant, aucun acteur n'est durablement établi.

Le Gouvernement a semble-t-il déjà identifié deux technologies clés : la blockchain et, à plus long terme, des technologies quantiques.

(1) La blockchain, un outil d'avenir pour défendre notre souveraineté ?

Qu'est-ce que la blockchain ?

La blockchain est un avatar de la technologie des registres distribués. Un registre distribué est une base de données qui enregistre l'ensemble des transactions, sans possibilité de masquer la moindre altération intervenue a posteriori. Le registre est tenu sur un réseau constitué de « noeuds », il est donc décentralisé. Cette décentralisation offre davantage de transparence et rend caduc le recours aux services intermédiaires. Le réseau est distribué dans le sens où chaque participant actif, chaque noeud dispose de sa propre copie de la base de données et peut la consulter, voire la modifier en résolvant un problème cryptographique. Il ajoute alors « un bloc » et cette modification est visible par l'ensemble des participants. Certaines blockchains, dites « privées », restreignent cette capacité de modification à un nombre limité de participants.

Voir également la note scientifique de l'Office parlementaire d'évaluation des choix scientifiques et technologiques intitulée Comprendre les blockchains. Disponible à l'adresse suivante : http://www.senat.fr/rap/r18-418/r18-4181.pdf

Le développement de la blockchain pourrait répondre à plusieurs des remises en cause de la souveraineté, qu'elle soit collective, individuelle ou étatique, identifiées par votre commission.

L'observatoire-forum de l'Union européenne sur les blockchains321(*) travaille par exemple sur l'identité numérique, un prérequis essentiel pour achever le marché unique numérique. Un objectif de long terme du règlement eIDAS est de permettre aux personnes morales et physiques de pouvoir s'identifier en ne révélant que les données nécessaires à l'authentification322(*). Le règlement couvre aussi les prérequis pour la fiabilisation des signatures électroniques et des documents électroniques.

Ces trois éléments sont particulièrement propices au développement d'une blockchain et à la tenue d'un registre décentralisé. Le forum promeut en effet une approche dite self-sovereign identity (SSI) : les usagers peuvent gérer leurs identités numériques et les utiliser selon leurs besoins. L'État garde ses prérogatives souveraines puisqu'il peut fournir une « identité officielle » et des informations qui sont à la fois gérées par la personne concernée et qui apportent des garanties aux tiers. Si nous sommes encore loin de disposer des technologies sous-jacentes nécessaires, votre rapporteur considère que la France et l'Europe doivent anticiper ces futurs développements, tant pour ne pas laisser des entreprises privées les développer et les maîtriser, sans pouvoir les réguler, que pour ne pas, là-aussi, prendre du retard sur d'autres États.

De nouvelles propositions de services, basés sur la blockchain, apparaissent en effet constamment. C'est le cas par exemple de l'expérimentation conduite par les douanes françaises et Michelin, pour enregistrer des informations de suivi de manière infalsifiable. Les Douanes en ont tiré un premier bilan positif.

Le partenariat entre les douanes françaises et Michelin

Les douanes françaises, en partenariat avec Michelin, ont expérimenté un outil de suivi des écritures liées au régime particulier du perfectionnement actif323(*). Le prototype a été développé par Sopra Steria, dont le siège social se situe à Annecy. Il permet d'enregistrer, en continu et de manière infalsifiable, les événements issus des procédés logistiques et industriels (arrivée des marchandises et placement sous le régime, mouvements, transformations, sortie des marchandises, etc.). L'ensemble de ces données est partagé en temps réel avec les acteurs pertinents. Si le premier bilan est positif, il conviendrait d'aller plus loin pour profiter pleinement de la valeur ajoutée d'un tel outil, par exemple en le connectant au système d'information d'un opérateur pour obtenir une plus grande traçabilité des marchandises et des transactions.

Source : douanes.gouv.fr

La blockchain ouvre également des perspectives en termes de financement de l'innovation, une difficulté sur laquelle achoppent nombre de start-up françaises ou européennes (cf. infra). Le financement par le biais de levées de fonds en jeton permettrait de contourner à la fois les contraintes en matière d'investissement et les réticences de certains établissements bancaires. C'est pour cette raison que la loi Pacte a décidé, de manière inédite au niveau mondial, d'encadrer les levées de fonds en jetons (ICO pour initial coin offering) : l'AMF pourra octroyer un visa optionnel aux entreprises souhaitant réaliser une telle opération. Les premiers visas devraient être attribués au mois de septembre 2019 et apporteront une garantie aux investisseurs, qui pourraient être plus enclins à financer des projets innovants dans le domaine du numérique324(*).

Qu'est-ce qu'une levée de fonds en actifs numériques ?

Les initial coin offerings (ICO) ou levées de fonds en actifs numériques, ou encore levées de fonds en jeton, sont définies par l'Autorité des marchés financiers comme « des opérations de levées de fonds effectuées à travers une technologie de registre distribué qui donnent lieu à une émission de jetons (« tokens »), ceux-ci pouvant ensuite, selon les cas, être utilisés pour obtenir des produits ou services, échangés sur une plateforme (marché secondaire) et/ou rapporter un profit ».

Concrètement, un entrepreneur développe une blockchain dédiée à un nouveau projet (ex. jeu vidéo en temps réel, services de clouding...) pour laquelle il émet des jetons. Il vend ensuite ces jetons auprès d'investisseurs, qui paient en cryptoactifs (ex. bitcoin, ether) ou en monnaie légale. La transaction est le plus souvent opérée sur la blockchain Ethereum, qui sécurise les échanges. Les jetons confèrent des droits aux investisseurs, ces droits pouvant être de différente nature : dividendes futurs, droit de vote, droit à un service... Une fois que le porteur du projet a collecté les cryptoactifs, il peut les convertir en monnaie légale par le biais d'une plateforme de change et financer son activité.

Source : rapport fait au nom de la commission spéciale sur le projet de loi relatif à la croissance et la transformation des entreprise (lien : http://www.senat.fr/rap/l18-254-1/l18-254-11.pdf)

Pour attirer ces investissements, il faut un écosystème favorable. Le champion européen des levées de fonds sur la blockchain était la petite ville de Zoug en Suisse, dont les entreprises ont levé davantage de fonds par ce biais-là que toute l'Europe continentale325(*). Surnommée « Crypto Valley », la ville de Zoug a su bâtir un écosystème favorable à l'installation de ces entreprises : cadre de régulation fixé dès 2015 par l'autorité suisse des marchés financiers, portail unique pour les nouveaux arrivants, fiscalité avantageuse pour les jeunes entreprises, développement des usages des cryptoactifs, y compris pour les achats quotidiens...326(*)

Enfin, comme l'a rappelé devant votre rapporteur la directrice de la division « Fintech, innovation et compétitivité » de l'AMF, Mme Domitille Dessertine, la blockchain offre des perspectives à l'ensemble des secteurs de l'économie : établissement de smart contract, gouvernance plus transparente et décentralisée des entreprises, diminution des coûts de transaction, appui au transfert d'un certain nombre de biens et de services (oeuvres d'art, droits d'auteur, espace de stockage informatique, données personnelles etc.). C'est pour cela que la blockchain est un outil devenu si important aujourd'hui dans le monde numérique.

La stratégie du Gouvernement : la blockchain au secours de l'industrie

Le ministère de l'économie et des finances vient ainsi de lancer, sous l'égide de la Direction générale des entreprises, un groupe de travail, réunissant des acteurs du public (administratifs, Bpifrance, Caisse des dépôts), du privé (représentants de filières et d'associations professionnelles, comme La Chaintech ou le Cercle du Coin), des universitaires (CEA, Inria, Dauphine) et des régulateurs (AMF, ACPR) afin d'encourager l'industrie à développer des projets axés sur la blockchain. Les secteurs prioritaires seraient la construction (ex. émission de certificat de prestations), l'agro-alimentaire (ex. traçabilité des denrées) ou encore l'énergie (ex. certification de production d'énergie solaire).

Source : La Tribune, Bercy lance sa task force Blockchain pour pousser l'adoption dans l'industrie, 26 juillet 2019.

Le ministre de l'économie et des finances explique qu'instaurer un environnement favorable aux entrepreneurs de la blockchain est un moyen de lutter contre « la situation monopolistique de certains géants du numérique ». Votre rapporteur partage cette analyse et souhaiterait maintenant que les actes du Gouvernement soient à la hauteur de cet objectif ambitieux327(*).

(2) Entrer dans la course des technologies quantiques.

Selon la direction générale des entreprises, les technologies quantiques sont susceptibles, par leur usage, de révolutionner des pans entiers de l'industrie et de la défense, de la médecine moléculaire au stockage de CO2 en passant par la cryptanalyse, la prospection et la navigation sans GPS, conférant ainsi aux acteurs qui les maîtrisent un avantage stratégique.

Parmi celles-ci, l'informatique quantique permettra théoriquement de résoudre des problèmes tellement complexes que même les supercalculateurs les plus performants n'auraient jamais pu les traiter328(*).

Comme le rappelait Thierry Breton devant votre commission, le groupe qu'il préside se positionne sur ce secteur, à travers la commercialisation d'un premier simulateur quantique.

L'Union européenne a annoncé investir un milliard d'euros sur dix ans dans ce domaine. Il conviendrait que la France se dote d'une stratégie dédiée au développement de ces technologies. Sur un champ encore peu mature comme le quantique et ses applications diverses, nous avons une fenêtre d'opportunité. Une telle stratégie pourrait s'avérer d'autant plus urgente que Google a diffusé, le 20 septembre dernier, semble-t-il par erreur, une étude dans laquelle ses chercheurs affirment avoir construit un processeur quantique capable de mener un certain type d'opération en trois minutes et vingt secondes, là où il faudrait plus de 10 000 ans au plus avancé des supercalculateurs actuels329(*).

Les ministères de l'Economie, des Armées et de la Recherche ont missionné, en avril dernier, notre collègue députée Paula Forteza, Jean-Paul Herteman (ancien dirigeant de Safran) et Iordanis Kerenidis (directeur de recherche au CNRS) pour mener des réflexions sur une stratégie nationale permettant à la France de capitaliser sur l'excellence de sa recherche afin de devenir un champion industriel des technologies quantiques.

Le programme européen Quantum Technology

Le programme européen Quantum Technology est l'un des trois « fleurons » (ou Flagship) lancés par l'Union européenne dans le cadre de sa politique de soutien à la recherche « Horizon 2020 » (les deux autres portent sur le graphène et les neurosciences). Le chantier a débuté en 2016 avec la parution d'un manifeste (« Quantum Manifesto ») signé par plus de 3 000 acteurs du domaine, dont 156 entreprises européennes et 20 institutions de recherche.

L'objectif est de « consolider et étendre les forces scientifiques européennes dans ce domaine de recherche et [de] démarrer une industrie compétitive dans ce secteur », c'est-à-dire d'accélérer le passage depuis les laboratoires vers différents marchés.

Quatre principaux secteurs ont été identifiés : calcul (ordinateur quantique), communication (leur sécurité notamment), simulation et métrologie.

En octobre 2018, 20 premiers projets ont été sélectionnés, qui seront financés sur trois ans à hauteur de 132 millions d'euros.

Source : Le Monde, Technologies quantiques : l'Europe accélère, 29 octobre 2018.

3. Mobiliser tous les leviers de la politique industrielle

Tous les outils de la politique industrielle doivent être mobilisés tant pour soutenir ces secteurs (politique industrielle dite « verticale ») que pour créer des écosystèmes favorables pour les acteurs privés (politique industrielle dite « horizontale » qui sera traitée au E de la présente partie). Le soutien public de la France et de l'Europe aux entreprises est essentiel dans un contexte où nos partenaires commerciaux, au premier rang desquels les États-Unis et la Chine, ne jouent pas ou plus le jeu de la concurrence libre et non faussée.

Les outils d'une politique industrielle verticale sont nombreux, des subventions (en particulier en amont du développement d'un produit) aux marchés publics en passant par les prises de participation au capital... Votre rapporteur souhaite insister sur trois points en particulier, qui avaient déjà été mis en exergue par notre collègue Catherine Morin-Desailly dans ses rapports sur l'Europe au secours de l'Internet et sur l'Europe, colonie du monde numérique.

1° Il convient de modifier la philosophie de la politique de concurrence européenne, afin d'éviter qu'elle ne porte préjudice à des initiatives industrielles françaises ou européennes de niveau mondial330(*). Plusieurs personnes auditionnées ont en effet souligné l'attention disproportionnée apportée, par les autorités européennes, à la concurrence et au bénéfice à court terme du consommateur, au détriment de la constitution de champions européens du numérique. Ainsi notamment de Thierry Breton : « au nom de principes concurrentiels qui n'ont plus de sens aujourd'hui et qui relèvent d'une politique de marché tournée vers le consommateur, on a interdit la création de champions industriels européens ! L'Europe doit, à l'inverse, favoriser les rapprochements des grands groupes européens afin de mobiliser des investissements dans des secteurs particulièrement voraces en capitaux et garantir l'émergence d'une politique industrielle sur laquelle doit désormais s'aligner la politique de la concurrence ».

Devant votre commission, le ministre de l'Economie et des Finances a notamment plaidé pour que le Conseil européen ou le Conseil de l'Union européenne puisse s'opposer à une décision de la Commission européenne dans ses fonctions d'autorité européenne de la concurrence, comme le Gouvernement peut le faire au niveau national en France et en Allemagne. Votre rapporteur rejoint cette préconisation. C'est dans cette même logique que le ministre estime qu'il convient de permettre un contrôle ex post des concentrations plutôt qu'un contrôle ex ante, afin de n'empêcher une concentration que si les effets anti-concurrentiels sont avérés.

En somme, tout en étant plus strict d'un côté pour prendre en compte les acquisitions « prédatrices », il convient d'amender la politique des concentrations pour permettre la constitution de champions nationaux et européens, à l'heure où les marchés sont mondiaux.

2° Selon un récent rapport d'inspection précité331(*), il convient d'améliorer le régime des aides d'État, singularité européenne qui, en l'état actuel, complique et rallonge la procédure d'octroi des soutiens publics par rapport aux pratiques constatées dans les pays tiers. Il convient donc, comme le propose le rapport, de raccourcir les délais d'examen de ces aides, de mieux prendre en compte les aides d'État versées par des pays tiers et de développer les projets importants d'intérêt européen commun (Piiec).

Améliorer le régime des aides d'État afin de rapprocher l'Europe des standards internationaux en matière de soutien public à la recherche et à l'activité économique.

3° Le levier de l'achat public est essentiel pour promouvoir les entreprises françaises et européennes. Comme l'ont souligné devant votre commission les représentants de la licorne française du cloud OVH, « choisir un acteur américain ou chinois est lourd de conséquences tant au niveau de la protection des données que pour l'ensemble de l'écosystème de la filière numérique », rappelant que, « si la préférence nationale est une notion absente de notre droit, c'est une réalité concrète dans les autres États ».

Le levier de l'achat public devrait être systématiquement utilisé pour encourager les entreprises françaises et européennes, comme cela se fait partout dans le monde.

Les administrations publiques pourraient également engager une réflexion sur le recours au logiciel libre332(*) en vue de s'assurer de maîtriser leurs données et de mieux conduire, potentiellement à moindre coût, les politiques publiques dont elles ont la charge.

En effet, l'État, ses administrations et ses services publics, produisent, recueillent, gèrent et diffusent des données numériques en quantité toujours croissante. Elles concernent les individus, les équipements, les territoires, les résultats des recherches, les décisions administratives ou judiciaires, les éléments de procédure, etc. Dans sa gestion courante de ces informations, s'agissant des données personnelles, il a l'obligation d'en garantir la confidentialité. Ainsi, quand les administrations utilisent des logiciels achetés à des entreprises privées, elles doivent s'assurer de la sécurité de l'accès à ces informations et de l'impossibilité pour le fournisseur de les recueillir et de les exploiter.

Lors des auditions menées par notre commission d'enquête, il ne nous est pas apparu formellement que l'État, dans ses politiques d'achats de matériels et de logiciels informatiques, avait une doctrine générale pour intégrer dans ses appels d'offre cette dimension essentielle de la sécurité des données. Pour s'assurer du respect d'un cahier des charges qui intégrerait cette exigence, il lui faudrait se doter de moyens d'analyse des solutions proposées dont la plupart des ministères semblent dépourvus. Plusieurs de nos interlocuteurs ont souligné que la lisibilité totale des codes sources des programmes informatiques pouvait être une des conditions essentielles de la souveraineté de l'État sur ses moyens numériques.

Deux conceptions opposées du recours au logiciel libre par les administrations

Les auditions de votre commission ont permis de souligner les conceptions divergentes quant à la question de savoir si les administrations devraient recourir de préférence au logiciel libre, qui permettent la lisibilité des codes sources.

Le Dinsic de l'État a ainsi fait part de sa vision particulièrement nuancée, résumée par la phrase suivante : « Chaque fois que l'usage est bon, le logiciel libre a sa place. » Cette conception repose sur le constat de l'inadaptation aux besoins de certaines solutions libres déjà utilisées par l'État, qui a pu conduire les agents à recourir à des solutions propriétaires en ligne, et donc peu sécurisées. Par ailleurs, il a considéré que le coût complet (en prenant en compte les coûts de maintenance) des logiciels libres « n'est pas si éloigné de celui des logiciels propriétaires ». De même, M. Bruno Sportisse, président-directeur général de l'Inria considère-t-il que « sur ce sujet, il ne faut pas avoir de dogme dans un sens comme dans l'autre. » Enfin, la ministre des Armées a également souligné les enjeux du recours au logiciel libre pour son ministère : « nous devons sans cesse ménager l'interopérabilité de nos forces. Nos alliés fonctionnent à partir de codes sources qui proviennent de la même entreprise, ce qui constitue une difficulté et ralentit le développement du recours aux logiciels libres. »

A l'inverse, les associations La Quadrature du Net et April333(*) ont plaidé vigoureusement en faveur du logiciel libre, tant pour les administrations que pour les individus, notamment parce que l'utilisateur, qui a accès au code source, peut en comprendre le fonctionnement et le modifier, ce qui est de nature à préserver sa liberté et à nourrir sa confiance dans la solution numérique. L'association April lutte ainsi pour éviter ou mettre fin aux partenariats conclus par les administrations de l'État avec les géants américains du numérique, comme le ministère de l'Éducation nationale, le ministère de la Justice ou celui de la Défense. Elle plaide également pour que l'État encourage le logiciel libre, par exemple au moyen d'appels d'offres, ou en soutenant les contributions des agents publics.

Le Conseil national du numérique avait également pris position en faveur du logiciel libre334(*) en recommandant de leur donner la priorité dans la commande publique, pour trois raisons : le logiciel libre permet aux administrations de mieux adapter leurs services publics en développant des solutions qui leurs sont propres tout en étant interopérables, et de mieux les maîtriser, en permettant un audit et la correction en continu des failles de sécurité ; enfin, le logiciel libre serait globalement moins cher.

Pour répondre à cette exigence, mais aussi afin de réaliser, autant que possible, des économies d'acquisition, de gestion, de maintenance et de formation, plusieurs administrations ont fait le choix de développer leurs propres solutions informatiques, à partir de logiciels dont les codes sources sont publics. C'est, par exemple, le cas de la Gendarmerie qui, depuis 2009, a équipé les 80 000 postes informatiques de ses services de solutions informatiques libres qui lui ont permis de regagner son indépendance et sa souveraineté vis-à-vis des éditeurs privés. Il serait très utile de réaliser rapidement le bilan de cette expérience unique et d'évaluer les possibilités de son extension à d'autres ministères.

À tout le moins, il est urgent d'engager rapidement une réflexion au niveau interministériel sur ce sujet. L'idée, présentée devant notre commission, selon laquelle le choix d'acquisition de logiciels par les ministères serait, in fine, dicté par le confort d'utilisation des agents n'est pas recevable.

4. Renforcer la place des acteurs français et européens dans les organismes de normalisation et de gouvernance d'internet.

Les équipements actifs et les protocoles utilisés pour la communication des données ou leur chiffrement répondent à des normes techniques négociées au sein d'instances internationales, comme l'Internet engineering task force (IETF) ou le World Wide Web consortium (W3C)335(*). Le nombre important des organismes de normalisation du numérique (quelques centaines dans le monde) et leur diversité thématique font que l'influence française dans ces fora ou consortia est assez variable.

Le Sénat a plusieurs fois souligné qu'il était important que les acteurs européens renforcent leur présence au sein des organismes internationaux de normalisation de l'internet. Cette préoccupation se retrouve, par exemple, dans la résolution du Sénat sur la régulation des objets connectés et le développement de l'internet des objets en Europe336(*). Ce constat rejoint celui de notre collègue Elisabeth Lamure, dans son rapport sur la normalisation337(*), selon lequel les acteurs nationaux de la normalisation « se livrent à une véritable course pour être à même de proposer avant d'autres l'ouverture de travaux dans les organismes européens ou internationaux de normalisation dans certains domaines ». Au-delà du web, la question est d'autant plus cruciale aujourd'hui pour l'intelligence artificielle338(*).

La France a la chance d'héberger sur son territoire l'Institut européen de normalisation des télécommunications (ETSI), acteur de premier plan mondial dans la normalisation des télécommunications et du numérique, reconnu par la Commission européenne comme l'un des trois organismes européens de normalisation. Cet acteur, majoritaire au sein du 3GPP, le consortium international établissant notamment les normes pour la 5G, et disposant d'une forte influence pour les normes de communications de machine à machine et de l'Internet des objets à travers son projet OneM2M, accueille plus de 100 acteurs français sur environ 900 membres au total.

La politique de la France en matière de normalisation dans le domaine du numérique

Selon la réponse écrite adressée à votre rapporteur par la direction générale des entreprises, dans le cadre de la stratégie pour un marché unique numérique, la France :

- promeut une ambition forte de l'Union européenne en matière de normalisation, la définition de priorités stratégiques européennes en matière de normalisation (5G, cybersécurité, Internet des objets...) ;

- soutient la mobilisation des acteurs français et européens dans le processus de normalisation notamment à travers différents appels à projets du programme-cadre de recherche et d'innovation de l'UE Horizon 2020 (PME, universitaires et chercheurs peuvent désormais bénéficier de financements européens pour participer aux travaux de normalisation) ;

- défend l'ancrage européen de l'ETSI afin qu'il puisse être un lieu de développement de spécification techniques en relais à des initiatives politiques de l'UE et en application de ses réglementations dans le domaine des radiocommunications ou de la sécurité, tout en veillant à son ouverture vers le monde, les normes dans le numérique ayant vocation à être mondiales ;

- a fait des propositions à la Commission européenne allant dans le sens d'une préservation de l'intérêt européen au sein de la gouvernance de la politique européenne de normalisation des technologies de l'information et de la communication face à l'entrisme de grandes entreprises non européennes.

Le renforcement de l'influence française passe également par la valorisation et la promotion des positions de l'UE dans les discussions internationales liées à la normalisation des technologies de l'information et de la communication ainsi que par la mise en place d'une stratégie de promotion des normes européennes à l'international.

Il semble que l'État n'ait pourtant pas encore pleinement pris la mesure de l'enjeu : estimant que l'intérêt de l'organisation était dorénavant limité, Orange a quitté le W3C339(*), sans que l'État ne s'en émeuve ! Votre rapporteur accueille donc favorablement le souhait formulé par le ministre de l'Economie et des Finances devant votre commission de « rénover la stratégie française de normalisation ».

Il convient de renforcer l'effort en faveur de la mobilisation des acteurs français et européens du numérique dans les organismes de normalisation.

Par ailleurs, il convient de poursuivre l'effort de multilatéralisation de l'Icann afin de tendre vers une gouvernance mondiale de l'Internet.

La réforme de l'Icann en 2016 a permis des progrès indéniables tels qu'une meilleure redevabilité des instances décisionnelles auprès de la communauté, des mécanismes de recours plus aboutis contre les décisions du conseil d'administration et, surtout, la fin du lien contractuel direct qui existait entre l'administration américaine et l'organisation.

La situation actuelle ne semble cependant pas favorable à la poursuite de l'amélioration de la gouvernance de l'organisme : la plupart des acteurs non-gouvernementaux (secteur privé, communauté technique) ainsi qu'un certain nombre de gouvernements, dont les États-Unis mais aussi une bonne partie des pays européens, privilégient désormais le statu quo.

Les recommandations du rapport de notre collègue Catherine Morin-Desailly intitulé « L'Europe au secours de l'Internet » et de la résolution européenne du Sénat « sur la nécessaire réforme de la gouvernance de l'internet »340(*) à propos de la réforme de l'Icann sont donc toujours d'actualité. Votre rapporteur invite en conséquence le Gouvernement à les étudier à nouveau avec attention.

Selon la contribution transmise à votre rapporteur par l'Association française pour le nommage internet en coopération (Afnic), la priorité n'est cependant plus aujourd'hui à la relance d'une réforme de l'Icann, mais plutôt l'identification des sujets prioritaires sur lesquels l'Icann a un pouvoir, et sur lesquels les acteurs français pourraient l'amener à évoluer. Elle estime également nécessaire de maintenir un lien constant entre les autorités et les acteurs majeurs français, d'une part, et les Français membres du personnel de l'Icann, d'autre part. Enfin, elle propose la mise en place d'une bourse pour les volontaires français (associatifs, académiques, retraités...) s'impliquant dans des groupes de travail ayant un impact potentiel sur les acteurs français, évaluant le besoin financier à quelques dizaines de milliers d'euros par an dans un premier temps.


* 281 La politique industrielle est ici entendue dans un sens englobant, qui prend en compte les limites de la définition classique de l'industrie. Comme le remarquait le Conseil d'analyse économique en 2014, « l'industrie change de nature et ne fait plus qu'une avec les services ». Selon les experts du Conseil, « c'est la production de masse, la réalisation d'économies d'échelle, les gains de productivité et l'application du progrès technique » qui définissent désormais l'industrie. Et les auteurs de s'interroger : « Apple, Google, Microsoft, IBM, Verizon, Facebook, Oracle, Amazon sont-elles des entreprises industrielles, ou des entreprises de services ? » (Conseil d'analyse économique, Pas d'industrie, pas d'avenir ?, juin 2014).

* 282 Résolution européenne pour une stratégie européenne du numérique globale, offensive et ambitieuse, 30 juin 2015. Elle plaidait pour la constitution d'une telle politique « grâce à un pilotage stratégique et une plus grande cohérence entre la politique de concurrence de l'Union et sa politique industrielle, en assouplissant le régime des aides d'État, en mobilisant le fonds européen d'investissement stratégique du plan Juncker, en encourageant le développement du capital-risque dans l'Union, en promouvant l'adoption de normes communes en matière industrielle dans l'objectif de faciliter le développement et la croissance des entreprises innovantes du numérique et de soutenir des projets industriels d'envergure européenne - traitement des données de masse, services sécurisés mais ouverts d'informatique en nuage ».

* 283 Inspection générale des finances, rapport précité sur le soutien à l'économie numérique et à l'innovation, janvier 2012.

* 284 Rapport précité de Catherine Morin-Desailly, L'Europe au secours de l'Internet ?, dont la proposition n° 37 était ainsi libellée « favoriser le développement d'un système d'exploitation sur mobile européen constituant une alternative crédible aux principaux systèmes d'exploitation actuellement existants ».

* 285 À cet égard, l'entreprise Tecwec estime qu'elle propose un tel système d'exploitation pouvant être qualifié de « souverain » (AcidOS). Elle fait cependant face à d'importantes difficultés de financement.

* 286 Commission d'Éthique sur la Recherche en sciences et technologies du Numérique d'Allistene, « La souveraineté à l'ère du numérique : rester maîtres de nos choix et de nos valeurs », Jean-Gabriel Ganascia, Éric Germain, Claude Kirchner, octobre 2018.

* 287 Voir notamment l'article de Valentine Martin, La République numérique en débat au Parlement : le projet de commissariat à la souveraineté numérique, in La souveraineté numérique, le concept, les enjeux, sous la direction de Christian Valar et Pauline Türk.

* 288 Numerama, Développer un OS souverain made in France, combien cela coûte ? - 20 janvier 2016.

* 289 La Tribune, « Cloud » à la française : Fleur Pellerin justifie les deux projets concurrents », 2 octobre 2012.

* 290 L'Express, Le cloud à la française en plein orage, 15 juin 2016.

* 291 Auteur de l'ouvrage ayant contribué à populariser le concept de « souveraineté numérique » intitulé La souveraineté numérique, publié en 2014.

* 292 Ursula von der Leyen, A Union that strives for more, My agenda for Europe, political guidelines for the next European commission 2019-2024. Le 10 septembre dernier, la nouvelle présidente de la Commission a estimé que l'Europe doit «tirer le meilleur parti de l'intelligence artificielle et des mégadonnées, (...) améliorer la cybersécurité et (...) lutter âprement pour (sa) souveraineté technologique».

* 293 C'est-à-dire un logiciel libre, en open service.

* 294 Sur la technologie 5G, voir notamment le Rapport de MM. Pierre Henriet, député et Gérard Longuet, sénateur, fait au nom de l'Office parlementaire d'évaluation des choix scientifiques et technologiques, publié le 11 décembre 2018 et intitulé « Perspectives technologiques ouvertes par la 5G ».

* 295 https://www.abiresearch.com/press/abi-research-projects-5g-worldwide-service-revenue/

* 296 Catherine Procaccia, rapport n° 579 (2018-2019), au nom de la commission des affaires économiques sur la proposition de loi visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles, 19 juin 2019.

* 297 Voir, par exemple, s'agissant de l'Allemagne : https://www.wsj.com/articles/drop-huawei-or-see-intelligence-sharing-pared-back-u-s-tells-germany-11552314827.

* 298 Jusqu'ici, la sécurité des réseaux télécoms était assurée par l'autorisation préalable à l'installation d'équipements prévue à l'article 226-3 du code pénal, déjà instruit par l'Agence national de sécurité des systèmes d'information. Mais ce régime était insuffisant, car la sécurité des réseaux 5G devra s'apprécier au-delà de la sécurité des équipements en eux-mêmes : il s'agit de s'assurer de la sécurité des modalités de déploiement et d'exploitation de ces équipements (opérations de configuration et de supervision du réseau, recours à la sous-traitance...).

* 299 Commission européenne, recommandations, Cybersecurity of 5G Networks, 26 mars 2019.

* 300 Bruno Le Maire a d'ailleurs souligné, lors de son audition devant votre commission d'enquête : « Je ne déciderai pas personnellement quelles sont les technologies de rupture pertinentes, je n'en sais rien, mais nous avons en France les ingénieurs, les chercheurs, les industriels qui, eux, le savent ».

* 301 Production et installation de fibre optique, équipements de télécommunications, électronique grand public, composants électroniques, matériel informatique.

* 302 La balance commerciale de la fibre optique est positive depuis de nombreuses années. En revanche, en 2018, un déficit a été constaté. Il conviendra d'être vigilant à l'avenir.

* 303 Il convient de noter que la balance commerciale de ce secteur est positive.

* 304 Au niveau européen, sont très présents le néerlandais NXP, qui entretient un volume important d'activités de R&D en France, et l'allemand Infineon.

* 305 Plan « Nano Innov » en 2009, puis Nano 2012, Nano 2017 et Nano 2022.

* 306 Un supercalculateur est un très grand ordinateur, réunissant plusieurs dizaines de milliers de processeurs, capable de réaliser un très grand nombre d'opérations de calcul ou de traitement de données simultanées.

* 307 Sénat, Résolution européenne n° 144 (2018-2019) sur le calcul à haute performance, 20 juillet 2019.

* 308 Atos est positionné sur l'intégration système et les couches logicielles basses et applicatives (40% de la valeur). Les composants élémentaires tels que les processeurs (40% de la valeur) de calcul et les mémoires (30% de la valeur, mais considérés comme des commodités) sont approvisionnés à l'étranger.

* 309 L'acronyme HPC désigne le calcul à haute performance ou intensif (en anglais High Performing Computing).

* 310 Voir, sur ce sujet, le chapitre intitulé Télécoms et TIC : la sortie de route de l'ouvrage d'Elie Cohen et de Pierre-André Buigues, intitulé Le décrochage industriel, publié en 2014. Les auteurs débutent en soulignant qu'il aura fallu « trente ans pour que l'Europe et la France passent d'un co-leadership mondial dans les équipements de télécommunications au duo des survivants » (aujourd'hui Nokia et Ericsson).

* 311 Décret n° 2018-1057 du 29 novembre 2018.

* 312 Il s'agit de la mise à disposition d'une ressource matérielle virtualisée (services de calcul, de stockage et de réseau), gérée et administrée par un fournisseur.

* 313 Il s'agit de la mise à disposition de logiciels en ligne prêts à l'usage après un simple paramétrage.

* 314 Rapport précité, intitulé « L'Europe au secours de l'Internet ».

* 315 Bruno Le Maire, ministre de l'économie et des finances, discours d'inauguration du 8e datacenter d'Equinix en février 2019.

* 316 Stratégie nationale de recherche en IA, dossier de presse, 28 novembre 2018.

* 317 L'intelligence artificielle au service des entreprises, Stratégie nationale pour l'intelligence artificielle : présentation du volet économique, dossier de presse, 3 juillet 2019.

* 318 Ces projets importants d'intérêt européen commun (Piiec) permettent aux États membres de soutenir des projets transnationaux d'importance stratégique et donc de passer outre l'interdiction des aides d'Etat : le Traité sur le fonctionnement de l'Union européenne (TFUE) prévoit ainsi au point 3 de son article 107 que de tels projets peuvent faire l'objet d'aides financières de plusieurs États membres sous certaines conditions. Le rapport d'information sur la proposition de résolution européenne en rappelle les modalités de fonctionnement.

* 319 Sénat, Résolution européenne sur les investissements dans l'intelligence artificielle en Europe, 8 mars 2019.

* 320 Conseil général de l'environnement et du développement durable (Cgedd) et Inspection générale de l'administration (IGA), L'automatisation des véhicules, février 2017.

* 321 Cet observatoire a été créé par la Commission européenne sur proposition du député européen Jakob Von Weizsäcker. Son but est de favoriser le développement de la technologie de la blockchain dans tous les secteurs de l'économie et de faire dialoguer autorités nationales et européennes, acteurs privés et chercheurs.

* 322 Par exemple : une personne pourrait prouver qu'elle a l'âge de voter sans avoir besoin de transmettre sa date de naissance.

* 323 Le perfectionnement actif est un régime particulier de droit communautaire destiné à favoriser l'activité économique des entreprises de l'Union européenne qui transforment des marchandises de pays tiers avant de les réexporter ou de les mettre à la consommation. Source : http://www.douane.gouv.fr/articles/a10864-regime-particulier-le-perfectionnement-actif

* 324 C'est d'autant plus important que d'après une étude de Satis, reprise dans un rapport de la Banque centrale européenne sur les conséquentes des cryptoactifs pour la stabilité financière et la politique monétaire, 80 % des projets appelant à des fonds via une ICO sont frauduleux.

* 325 Comment la Suisse veut devenir la « crypto-nation », article publié dans les Échos par Raphaël Bloch le 21 février 2019. Lien vers l'article : https://www.lesechos.fr/finance-marches/marches-financiers/bienvenue-dans-la-crypto-valley-992953

* 326 La France n'a elle-même que récemment adapté le dispositif fiscal relatif aux cryptoactifs. La loi de finances pour 2019 impose une déclaration annuelle, et non plus mensuelle, des plus-values. Elle abaisse le taux d'imposition de 36,2 % à 30 % et exonère les transactions de crypto à crypto pour les particuliers.

* 327 L'Allemagne a publié le 18 septembre 2019 une stratégie détaillée pour tirer au mieux parti de la technologie de la blockchain et pour rester un leader mondial dans ce domaine.

* 328 Pour une vulgarisation de l'informatique quantique, voir Olivier Ezratty, Comprendre l'informatique quantique, novembre 2018.

* 329 Il convient cependant de noter que de nombreux points amènent à relativiser la portée de cette annonce. Par exemple, Olivier Ezratty, auteur d'un ouvrage disponible en ligne sur la technologie quantique, considère que ce type de communication permettra surtout de relancer les investissements dans le domaine (20minutes.fr, Google: La firme atteint la « suprématie quantique » mais ce n'est qu'un début, 25 septembre 2019).

* 330 Devant votre commission d'enquête, le ministre de l'économie et des finances a ainsi regretté la décision par laquelle la Commission européenne s'est opposée à la fusion d'Alstom et de Siemens, privant l'Europe de la possibilité de se doter du leader mondial de la signalisation ferroviaire.

* 331 Rapport d'inspection précité, intitulé « La politique de la concurrence et les intérêts stratégiques de l'UE ».

* 332 Selon les propos tenus par le représentant de l'association April lors de son audition par votre commission le 8 juillet dernier, « Est qualifié de « logiciel libre » le logiciel qui permet d'assurer quatre libertés fondamentales : la liberté d'utilisation sans restriction d'usage, le droit d'étudier ce logiciel et de le modifier pour qu'il réponde à nos besoins - y compris en en corrigeant les erreurs -, le droit de redistribuer le logiciel et le droit d'en partager les versions modifiées. (...) L'oeuvre fondatrice du logiciel libre, Code is Law, a été écrite par le professeur Lawrence Lessig en 1999 ».

* 333 Association pour la promotion et la recherche en informatique libre.

* 334 Conseil national du numérique, Donner priorité aux logiciels libres dans la commande publique, 2016

* 335 Créé par Tim Berners-Lee, l'un des inventeurs du Web, en 1994, le W3C compte plus de 400 entreprises membres.

* 336 Résolution européenne n° 106 (2017-2018), initiée par notre collègue Catherine Morin-Desailly et adoptée le 22 mai 2018, qui « demande que les acteurs européens renforcent leur présence dans les enceintes internationales d'élaboration des normes et des standards de sécurité en matière numérique, et particulièrement l'internet des objets ».

* 337 Où va la normalisation ? - En quête d'une stratégie de compétitivité respectueuse de l'intérêt général, Rapport d'information n° 627 (2016-2017) de Mme Élisabeth Lamure, fait au nom de la commission des affaires économiques, 12 juillet 2017.

* 338 Voir notamment l'article de presse suivant : korii.slate.fr, La course pour la domination mondiale de l'intelligence artificielle est lancée, juillet 2019.

* 339 L'Express, Orange quitte le W3C, le consortium qui fixe les règles du Web mondial, 10 avril 2019.

* 340 Sénat, résolution européenne n° 27 (2014-2015) sur la nécessaire réforme de la gouvernance de l'internet, 25 novembre 2014.