Mardi 6 mai 2025
- Présidence de M. Simon Uzenat, président -
La réunion est ouverte à 17 h 45.
Audition de Mme Stéphanie Schaer, directrice interministérielle du numérique
M. Simon Uzenat, président. - Nous reprenons cette semaine nos travaux au Sénat - car nous étions hier avec le rapporteur dans le département du Nord, où nous avons rencontré les élus et les acteurs locaux de l'achat public - en approfondissant l'étude des achats numériques des personnes publiques, et plus particulièrement de l'État. Les auditions que nous avons conduites ces dernières semaines nous ont en effet sensibilisés aux questions de souveraineté numérique, notamment en matière d'hébergement de données d'une sensibilité particulière - et de données publiques, de façon générale.
L'État et ses établissements publics semblent envoyer des signaux contradictoires à ce sujet. Une direction d'administration centrale, la direction interministérielle du numérique (Dinum), est placée auprès du Premier ministre et chargée d'élaborer sa stratégie numérique, dont l'un des piliers est bien la souveraineté, et d'accompagner les ministères dans la conduite de leurs projets numériques complexes. Dans le même temps, malgré les annonces, le recours aux services fournis par des entreprises soumises aux législations extraterritoriales américaines semble se développer, y compris sur des sujets stratégiques. Qu'en est-il réellement ?
Notre commission d'enquête vise aussi à s'assurer que la commande publique de l'État, au vu de son poids économique, contribue bien à soutenir l'écosystème français de l'innovation, et pas uniquement à perpétuer la domination de quelques grands acteurs internationaux sur ce secteur, qualifié d'oligopole par plusieurs spécialistes - je connais l'engagement de notre rapporteur sur ce sujet.
Pour nous présenter la politique du Gouvernement en la matière, nous recevons Mme Stéphanie Schaer, directrice interministérielle du numérique. Je vous informe que cette audition sera diffusée en direct sur le site Internet du Sénat et fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 € d'amende et jusqu'à 5 ans d'emprisonnement, voire 7 ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Veuillez lever la main droite et dire : « Je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, Mme Stéphanie Schaer prête serment.
Je vous laisserai dans un premier temps présenter brièvement le rôle et l'organisation de votre direction, ainsi que les conditions de son intervention dans les grands projets numériques conduits par les ministères. Êtes-vous systématiquement consultés par ces derniers et avez-vous un droit de regard, voire de véto, sur les choix technologiques qu'ils réalisent ?
Vous pourrez également nous exposer les relations que vous entretenez avec les start-ups et autres entreprises françaises et européennes innovantes et la politique de soutien que vous déployez à leur égard.
Le rôle et le poids de l'Union des groupements d'achats publics (Ugap) dans les achats numériques des personnes publiques sont, par ailleurs, souvent mis en avant, notamment s'agissant de son marché multi-éditeurs. Vous pourrez justement nous indiquer s'il vous semble faire une place suffisante aux éditeurs français et européens ou s'il contribue à la prééminence des grandes entreprises américaines auprès des personnes publiques françaises.
Ces hyperscalers, bien que soumis à des législations extraterritoriales permettant à l'administration américaine d'accéder aux données qu'ils stockent sans en informer la personne concernée, sont sélectionnés pour des projets particulièrement sensibles. C'est le cas de la plateforme des données de santé (PDS). La Dinum avait émis un avis favorable à ce projet, malgré son hébergement par Microsoft Azure, tout en soulignant la nécessité d'assurer sa réversibilité. À l'époque, n'y avait-il aucun autre acteur capable de réaliser ces prestations ? Où en est aujourd'hui la migration de cette plateforme vers un cloud souverain, qui doit la mettre en conformité avec la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (Sren) ?
Enfin, la presse s'est récemment faite l'écho de la conclusion par l'État de plusieurs marchés importants avec un éditeur américain, parfois en contradiction apparente avec la doctrine ministérielle - 74 millions d'euros sur 4 ans au ministère de l'éducation nationale ou la migration des outils bureautiques et collaboratifs de l'École polytechnique. Que vous inspirent ces développements ? La Dinum a-t-elle été associée ou consultée en amont ?
Mme Stéphanie Schaer, directrice interministérielle du numérique. - Comme vous l'avez rappelé, la Dinum est un service du Premier ministre placé sous l'autorité conjointe de ce dernier et du ministre de l'action publique, de la fonction publique et de la simplification, dont le rôle est de définir et de mettre en oeuvre la stratégie numérique de l'État, d'accompagner les ministères dans la réussite de leurs projets numériques au service des politiques publiques, de faire circuler la donnée à cet égard et d'opérer de larges systèmes d'information en souveraineté pour répondre aux besoins de l'État en la matière.
La nouvelle stratégie numérique de l'État, définie en 2023 par la Dinum et soumise à approbation interministérielle, fait de la souveraineté une priorité pour un État plus simple, plus efficace et plus souverain grâce au numérique. Elle fixe quatre priorités : mieux accompagner les ministères et renforcer l'adoption du mode « produit » pour chaque projet numérique de l'État ; renforcer les compétences numériques au sein de l'État ; utiliser la donnée, l'intelligence artificielle et les algorithmes pour plus d'efficacité et de simplicité pour les citoyens ; et mener l'ensemble de ces actions dans le cadre d'un système d'information de l'État souverain.
La souveraineté a en quelque sorte été définie par l'article 16 de la loi du 7 octobre 2016 pour une République numérique, qui a insisté sur la nécessité pour l'administration de préserver la maîtrise, la pérennité et l'indépendance de tout ou partie de ses systèmes d'information. Cette notion nous guide depuis 2016, et aujourd'hui plus que jamais.
Nous devons disposer de la maîtrise de ces systèmes d'information, qui contribuent à la réussite de toutes les politiques publiques de l'État, font partie du quotidien de l'ensemble des agents publics et participent de la continuité de l'État. Dans le contexte de tensions géopolitiques et d'accroissement de la menace cyber que nous connaissons, ces questions imprègnent de plus en plus nos choix technologiques.
En prenant cette définition en considération, la Dinum a essayé de mieux définir, dans le cadre de l'élaboration de stratégies, la notion de souveraineté numérique au sein de l'État, dans la mesure où celle-ci est souvent utilisée.
S'agissant du système d'information de l'État, deux points primordiaux ont ainsi été définis : l'immunité au droit extra-européen - c'est-à-dire l'indépendance à l'égard des législations extra-européennes, notamment pour ce qui concerne les données sensibles et le bon fonctionnement des systèmes d'information - et l'indépendance s'agissant des technologies et des fournisseurs - l'État devant être en capacité de substituer à tout composant de sa solution une alternative disponible sur le marché et de négocier les tarifs.
Sur ce dernier point, il s'agit à la fois de disposer d'alternatives technologiques permettant d'assurer notre souveraineté et de ne pas dépendre d'un seul fournisseur qui pourrait en jouer sur le plan des tarifs, avec des conséquences sur nos finances publiques. Nous le constatons au travers de questions récentes : dans le domaine du numérique, la constitution de monopoles peut parfois accroître le coût des contrats ou des abonnements.
Cela se traduit de manière très concrète au sein du système d'information de l'État par des choix assumés. Par exemple, il y a 11 ans, nous avons décidé de créer un réseau interministériel de l'État couvrant l'ensemble des communications gouvernementales. Il s'agissait d'un choix de souveraineté. Ce réseau résilient est doublé, repose sur différents opérateurs, utilise plusieurs technologies, par exemple s'agissant des routeurs, et est aligné sur les protocoles de la normalisation internationale en la matière.
J'aimerais également évoquer l'exemple du cloud computing, une nouvelle technologie permettant d'héberger autrement les données et apportant agilité, innovation, performance et cybersécurité. Il fallait pouvoir développer ces technologies en prenant en considération l'enjeu de souveraineté, ce qui a été fait avec la mise en place de lignes directrices, l'élaboration d'une doctrine publiée en 2021 et mise à jour en 2023 sous la forme d'une circulaire de la Première ministre, le développement de clouds internes en open source, PI et Nubo, respectivement opérés par le ministère de l'intérieur et celui de l'économie, et la mise en place, avec une qualification de l'Agence nationale de la sécurité des systèmes d'information (Anssi), d'un label appelé SecNumCloud, qui permet de travailler avec l'ensemble de l'écosystème privé. Les lignes directrices que nous avons élaborées permettent à la fois à l'État d'utiliser ses propres capacités de cloud quand cela est nécessaire et de développer un écosystème souverain pouvant offrir ses services au secteur privé et montant en puissance dans le cadre de la commande publique.
J'ai en tête un dernier exemple d'action : le développement de briques en open source pour les besoins quotidiens des agents publics en matière de bureautique. Ce mouvement a émergé il y a quelques années et s'est accéléré au moment de la crise sanitaire. A donc été élaborée une solution souveraine de messagerie instantanée à l'échelle de l'État baptisée Tchap et utilisée à ce jour par près de 300 000 agents publics, qui n'ont pas à recourir à des outils commerciaux pour des besoins professionnels.
Bien que la plupart des messageries soient opérées par les ministères, nous disposons d'un outil interministériel facilitant le décloisonnement entre ces derniers et avec les services déconcentrés. Celui-ci se complète aujourd'hui par différentes briques en open source assurant la maîtrise des outils de base des agents publics tels que la visioconférence, l'édition collaborative et le tableur et intègre de plus en plus des outils d'intelligence artificielle. La suite numérique que la Dinum propose à l'ensemble des ministères constitue un projet s'inscrivant dans une logique européenne, dans la mesure où nous avons travaillé avec l'Allemagne sur ce sujet.
Concernant plus particulièrement le cloud, la commande publique joue un rôle important car il a fallu définir la manière d'acheter ces nouvelles technologies au niveau de l'État. Nous l'avons fait par le biais d'un marché de l'Ugap pour l'achat de prestations en nuage. La mise en place de ce marché, que nous suivons année après année, illustre à la fois l'évolution de la consommation de cloud par les différents services de l'État et la captation de ce marché d'un montant de 145 millions d'euros par les différents acteurs français et européens. En effet, 65 % de ses bénéficiaires sont des acteurs français, un taux qui monte même à 95 % sur le périmètre de l'État central. En outre, ce marché a connu une forte croissance de 50 % sur un an.
Nous avons récemment partagé ces chiffres avec tout l'écosystème. Près de 400 personnes ont en effet été réunies à la Dinum dans le cadre d'un évènement intitulé « L'État dans le nuage », rassemblant chaque année l'ensemble de l'écosystème public et privé et permettant de partager la dynamique et la meilleure façon de lever les freins à l'adoption du cloud.
M. Simon Uzenat, président. - Parle-t-on de 65 % du volume financier global des marchés ou du nombre total de ces marchés ?
Mme Stéphanie Schaer. - Il s'agit d'un seul marché, au niveau de l'Ugap.
M. Simon Uzenat, président. - La façon dont vous en avez parlé pouvait faire penser à différents périmètres.
Mme Stéphanie Schaer. - Il ne s'agit bien que d'un seul marché que nous suivons de très près car il constitue un outil de pilotage pour mes équipes. Vincent Coudrin, qui est à mes côtés, est en charge des questions de cloud computing et d'accompagnement des ministères.
Nous avons parlé de la PDS, mais d'autres acteurs ont également des besoins en termes de cloud computing. Nous avons donc publié en avril 2024 sur le site Internet de la Dinum, numerique.gouv.fr, les besoins prioritaires de l'État en matière de services cloud, ce qui a été très apprécié par l'ensemble de l'écosystème, puisque cela a permis aux acteurs concernés de prioriser telle ou telle fonctionnalité pour répondre aux besoins de l'État de façon globale, au niveau interministériel. Nous parvenons donc à la fois à identifier les besoins de l'État et à créer une dynamique en concrétisant la demande et en faisant progresser l'offre.
Cette politique nous permet d'utiliser ces technologies du cloud, qui sont encore minoritaires par rapport à l'hébergement standard au sein de l'État, mais progressent petit à petit. Elle pourra par ailleurs se reposer de plus en plus sur une offre de services venant notamment du secteur privé.
La Dinum intervient auprès des ministères à différents niveaux. Nous sommes d'abord sollicités pour sécuriser chaque nouveau projet de système d'information dépassant un certain seuil. Cette mission d'audit, qui donne lieu à un avis conforme, est définie aux articles 3 et 4 du décret fixant les missions de la Dinum.
M. Dany Wattebled, rapporteur. - Au-delà de quel seuil ?
Mme Stéphanie Schaer. - 9 millions d'euros, qui correspondent au coût de la construction du système d'information et de deux années de fonctionnement. Ce seuil est fixé par arrêté, mais la mission de la Dinum est définie par l'article 3 du décret du 25 octobre 2019. La Dinum doit être saisie avant la notification d'un marché de système d'information de cette ampleur dans le cadre de cette mission de sécurisation du risque.
Nous assumons également une mission d'accompagnement des administrations. La Dinum dispose ainsi d'une brigade d'intervention numérique accompagnant, à leur demande, les ministères souhaitant bénéficier d'une expertise pointue, typiquement sur le cloud computing. Cette brigade comporte une équipe cloud, qui accompagne les projets de migration vers le cloud ou de conception directement dans le cloud computing. Nous apportons également notre assistance sur d'autres sujets, comme l'accessibilité ou l'intelligence artificielle.
Par ailleurs, nous pouvons proposer des briques interministérielles pour éviter d'avoir à redévelopper un certain nombre de briques logicielles déjà existantes. La Dinum a identifié l'utilisation de briques logicielles en open source comme une partie de la solution aux questions de souveraineté, parce que ces briques peuvent être enrichies par différents acteurs étatiques ou privés, ce qui permet de parvenir à une performance comparable à celle qui peut être atteinte avec du code propriétaire. Il s'agit, selon nous, d'une bonne façon de mutualiser les efforts, d'élaborer des offres souveraines et d'atteindre l'excellence nécessaire pour susciter l'adhésion. En effet, un produit souverain mais moins bon sera peu utilisé.
Cette dynamique suscite l'intérêt de différents États membres de l'Union européenne, et notamment de l'Allemagne, qui, alors que la Dinum travaillait à sa suite numérique, développait openDesk, une suite souveraine en open source. Nous avons travaillé ensemble dans ce cadre et poursuivons aujourd'hui ces travaux à une échelle européenne, avec les Pays-Bas, en vue de la constitution d'un European Digital Infrastructure Consortium (Edic) pour pouvoir investir dans des communs numériques. Ils sont d'ailleurs repris dans le cadre de l'initiative EuroStack, à laquelle la France contribue et qui se décline sur le cloud, les suites bureautiques ou l'intelligence artificielle.
Il ne s'agit pas de la solution en elle-même, mais cela fait partie de la solution. Nous pouvons ainsi disposer de briques pouvant être opérées par un État ou reprises par des acteurs privés pour améliorer leurs produits. Typiquement, une brique de visioconférence peut ensuite être reprise dans différents produits commerciaux, améliorant l'offre disponible au niveau européen.
M. Simon Uzenat, président. - Je vous ai posé quelques questions auxquelles vous n'avez pas apporté de réponse. Je me permettrai donc de vous les reposer. La Dinum avait émis un avis favorable au projet de PDS, alors que l'hébergement était assuré par Microsoft Azure. Il y avait bien une perspective de réversibilité, mais n'y avait-il pas d'alternative à Microsoft au moment où la décision a été prise ? Qu'en est-il de la migration des données de cette plateforme vers un cloud souverain ?
Concernant l'éducation nationale, un secteur sensible, 74 millions d'euros ont été engagés sur 4 ans en faveur, là encore, des géants américains. Avez-vous été sollicités, associés ou consultés ?
Mme Stéphanie Schaer. - S'agissant de la PDS, qui s'appelait auparavant Health Data Hub (HDH), les autorités décisionnaires de l'époque ont fait le choix de basculer sur cet hébergement en 2019, puis un avis a été rendu en 2020, avant l'élaboration de la doctrine « Cloud au centre ». Les questions qui se sont posées sur le HDH ont sans doute contribué à définir plus précisément au travers de la doctrine ce qu'il fallait attendre de l'hébergement en cloud. Cette doctrine s'applique donc aux projets postérieurs à son élaboration, en 2021, et pas aux projets en cours à cette époque.
Ensuite, dans le cadre de sa mission de sécurisation des projets - qui consiste également à regarder comment le pilotage du projet va être sécurisé financièrement -, la Dinum a formulé dès 2020 un certain nombre de recommandations, lesquelles ont été suivies, avec des points d'attention impliquant une extrême vigilance quand il s'agit de basculer en cloud computing - la réversibilité, le plan de reprise d'activité, l'optimisation des coûts d'usage cloud et la présentation des projets sous l'angle du bénéfice. C'est la lecture que je peux vous apporter de l'avis qui a été rendu et publié.
La Dinum a mené des travaux sur l'expression de besoins visant à faire progresser l'offre SecNumCloud et à lui permettre de répondre à l'ensemble des besoins d'un bénéficiaire tel que le HDH ainsi qu'à ceux qui peuvent être exprimés dans d'autres secteurs, comme la justice, le social ou l'intérieur. En avril 2024, nous avons donc défini et publié en ligne cette expression de besoins.
M. Simon Uzenat, président. - La réversibilité est-elle engagée à ce jour ou s'agit-il tout du moins d'un processus sur lequel vous travaillez très activement ?
Par ailleurs, y a-t-il bien eu un marché public pour l'hébergement des données de santé par Microsoft Azure ? Les procédures habituelles ont-elles été suivies ?
Mme Stéphanie Schaer. - Je ne suis pas en mesure de répondre à votre question dans l'immédiat. Nous ne sommes pas le pouvoir adjudicateur de tous les marchés existant au niveau des systèmes d'information de l'État. Je ne dispose pas ici des données qui me permettraient de vous dire à quelle date ont été notifiés les marchés en question par cet acteur particulier. Nous nous prononçons en effet avant la notification des marchés.
M. Simon Uzenat, président. - Vous nous confirmez donc bien qu'il y a eu un marché ?
Mme Stéphanie Schaer. - Je ne dispose pas de données relatives à ce marché.
M. Dany Wattebled, rapporteur. - Vous êtes tout de même dans une position de contrôle. Même s'il n'y a pas eu de marché en tant que tel, mais seulement une commande à l'Ugap, la charge de la contrôler vous revenait.
Mme Stéphanie Schaer. - Un marché de l'Ugap reste un marché...
M. Dany Wattebled, rapporteur. - Ma question est assez précise...
Mme Stéphanie Schaer. - Mon collaborateur m'indique qu'il a été recouru à l'Ugap. Je ne disposais pas de cette information.
M. Simon Uzenat, président. - Que pouvez-vous me répondre sur la question de la réversibilité ?
Mme Stéphanie Schaer. - Le HDH a présenté à la Dinum un plan de réversibilité. Celui-ci n'a toutefois pas été mis en oeuvre, puisqu'il n'y a pas eu de migration des données.
M. Simon Uzenat, président. - Avez-vous été sollicités sur l'éducation nationale ?
Mme Stéphanie Schaer. - Non, nous n'avons pas été saisis préalablement. La façon dont il convient de lire les dispositions du décret relatif à la Dinum concernant la sécurisation des projets numériques de l'État a ensuite dû être clarifiée. Un courrier des ministres précisant que les projets bureautiques devaient également faire l'objet d'une saisine de la Dinum vient par conséquent d'être diffusé.
M. Dany Wattebled, rapporteur. - Merci pour vos explications, mais celles-ci ne me convainquent pas du tout. Vous avez abondamment parlé de souveraineté et je pense que votre direction doit en être la garante.
L'article 16 de la loi du 7 octobre 2016 pour une République numérique a consacré les principes de maîtrise, de pérennité et d'indépendance des systèmes d'information de l'État. Dans ce contexte, comment a-t-on pu attribuer des marchés à des hébergeurs assujettis à des lois extraterritoriales, alors que nous disposons d'acteurs compétents tels que Scaleway ou OVHcloud ? Avez-vous rappelé le principe de souveraineté numérique dès le départ ?
Vous avez confié le lancement de l'appel d'offres à l'Ugap, peut-être parce que vous n'aviez pas les moyens de le faire vous-mêmes. L'Ugap est-elle revenue vers vous pour soumettre cet appel d'offres à votre contrôle ?
J'ai l'impression qu'il y a un trou dans la raquette. Nous parlons tout de même de 74 millions d'euros dans un cas et, je crois, de 70 millions d'euros dans l'autre, ce qui représente un total de plus de 140 millions d'euros. J'aimerais connaître la masse globale de la commande publique française en matière de numérique. Je pense que cette somme en représente plus de la moitié.
Nous disposons d'acteurs qui n'ont pas été consultés par l'Ugap, ce qui pose problème. Là-dedans, que faites-vous ? N'êtes-vous là que pour regarder ou parler de souveraineté, sans passer des paroles aux actes ?
Mme Stéphanie Schaer. - La décision prise par le HDH en 2019 l'a été...
M. Dany Wattebled, rapporteur. - À votre insu ?
Mme Stéphanie Schaer. - Elle a été prise par les autorités décisionnaires à ce moment-là.
M. Dany Wattebled, rapporteur. - De qui s'agissait-il ?
Mme Stéphanie Schaer. - De la tutelle du HDH et de ceux qui étaient en position de décision vis-à-vis de cette structure.
M. Dany Wattebled, rapporteur. - Ils devaient bien revenir vers vous, puisque vous êtes l'autorité de tutelle pour le numérique.
Mme Stéphanie Schaer. - Au sein du système d'information de l'État, les systèmes d'information métier sont bien délégués à chaque ministère, sous l'autorité du ministre, ainsi que le prévoit le décret de 2019.
Je crois qu'il faut prendre en considération ce qui a été fait depuis. Nous avons élaboré une doctrine unique en Europe - au travers de l'European Union Cloud Certification Scheme (EUCS), l'Union européenne s'est d'ailleurs inspirée de SecNumCloud - et 65 % de la dépense de l'État liée au cloud sont captés par des acteurs français - et même 95 % au niveau de l'État central. Nous ne retrouvons pas de tels chiffres dans les autres États membres de l'Union européenne.
Ces résultats sont liés à notre doctrine, qui a permis de mettre en oeuvre les dispositions législatives générales de 2016 sur la souveraineté des systèmes d'information de l'État et de commencer, à titre préliminaire, à déployer une technologie plus émergente au sein de l'État en 2020. Ils progressent lentement, mais de façon exponentielle, avec une croissance de 50 % sur an, et ont été soulignés par les acteurs quand ils ont été réunis par la ministre chargée du numérique pour échanger autour des questions de souveraineté il y a une quinzaine de jours. Cela démontre que nous avons bien défini ce qui était attendu des différents acteurs.
L'expression de besoins doit continuer à alimenter l'ensemble de l'écosystème pour que l'offre progresse en termes fonctionnels et technologiques et réponde notamment à la norme SecNumCloud quand il s'agit d'héberger des données sensibles, comme le prévoit l'article 31 de la loi Sren.
M. Dany Wattebled, rapporteur. - Vous me dites que chaque ministère décide librement, mais, si vous êtes bien la direction interministérielle du numérique, ils doivent forcément revenir vers vous pour leurs appels d'offres. Je voudrais bien comprendre l'articulation. Vous devez au moins voir le cahier des charges, j'imagine.
Mme Stéphanie Schaer. - Nous devons donner un avis conforme avant la notification du marché dès lors que le seuil de 9 millions d'euros est dépassé. C'est ce qui a été fait.
M. Dany Wattebled, rapporteur. - Vous avez donc donné un avis sur le HDH. En est-il allé de même dans le cas de l'éducation nationale ?
Mme Stéphanie Schaer. - J'ai dit que je n'avais pas été saisie du cas de l'éducation nationale.
M. Dany Wattebled, rapporteur. - Les ministères sont donc autonomes s'ils ne vous ont pas saisie ! Ils ont décidé dans leur coin d'attribuer des marchés à Microsoft sans vous consulter.
Mme Stéphanie Schaer. - La Dinum a été saisie en 2020 au sujet du HDH. Son avis a été publié en ligne, comme il se doit.
M. Dany Wattebled, rapporteur. - Vous avez donné un avis favorable ?
Mme Stéphanie Schaer. - Nous avons formulé un avis avec des recommandations...
M. Dany Wattebled, rapporteur. - N'avez-vous pas intégré la question de la souveraineté des données ? L'article 16 de la loi du 7 octobre 2016 érige la souveraineté en priorité s'agissant des données sensibles. Vous avez pourtant donné un avis favorable sans tenir compte des enjeux de souveraineté. En confiant nos données à des opérateurs soumis à des législations extraterritoriales, des États étrangers peuvent s'en emparer, comme le font par exemple les États-Unis.
Mme Stéphanie Schaer. - Comme je vous le disais, la définition précise...
M. Dany Wattebled, rapporteur. - Non, je ne veux pas de définition. Répondez par oui ou par non.
Mme Stéphanie Schaer. - La définition de ce que l'on entend par « souveraineté » en matière de cloud a été précisée dans le cadre de la doctrine « Cloud au centre » en 2021. Des travaux ont été menés en interministériel, puis validés par le Premier ministre. Ils ont ainsi donné lieu à la publication d'une circulaire, qui a été mise à jour en 2023. Depuis lors, la Dinum vérifie l'application de cette doctrine dans le cadre des avis qu'elle rend au titre de l'article 3 du décret du 25 octobre 2019. Auparavant, l'appréciation était moins normée.
M. Dany Wattebled, rapporteur. - Cette doctrine n'était donc pas appliquée avant cette date ?
Mme Stéphanie Schaer. - Mes prédécesseurs ont vérifié certains points. Je tiens à préciser que je n'étais pas en poste à cette époque.
M. Dany Wattebled, rapporteur. - Pourtant, l'article 16 de la loi du 7 octobre 2016 fixait déjà un principe d'indépendance et de pérennité des systèmes d'information de l'État.
Mme Stéphanie Schaer. - Oui, et c'est, je crois, la raison pour laquelle mes prédécesseurs ont insisté sur des questions importantes telles que la reprise d'activité ou la réversibilité. Un certain nombre d'éléments ont été repris dans l'avis de 2020, même si les choses étaient moins structurées qu'elles ne le sont depuis 2021.
M. Dany Wattebled, rapporteur. - Concernant les données du HDH, M. Cédric O, qui était alors secrétaire d'État chargé du numérique, a-t-il fait ce qu'il a voulu ? A-t-il pu les confier à Microsoft sans suivre une procédure particulière ?
Mme Stéphanie Schaer. - Pour le HDH, il a été recouru à l'Ugap. Il y a donc bien eu un marché.
M. Dany Wattebled, rapporteur. - Ce marché vous a-t-il été soumis pour avis ?
Mme Stéphanie Schaer. - Le projet de HDH a été soumis à la Dinum.
M. Dany Wattebled, rapporteur. - Vous avez donc vu ce qu'il contenait.
Mme Stéphanie Schaer. - La Dinum a rendu l'avis que j'ai pu vous présenter dans les grandes lignes et qui a été publié comme tous les avis que nous formulons.
M. Dany Wattebled, rapporteur. - Très peu de temps après, nous avons reproduit le même schéma sur l'enseignement.
Mme Stéphanie Schaer. - Il s'agit d'un marché ad hoc pour la bureautique dans le cadre d'un renouvellement de marché. Comme je l'ai indiqué, la Dinum n'a pas été saisie en amont au titre de sa mission de sécurisation des projets informatiques.
M. Dany Wattebled, rapporteur. - Ce marché intègre également de l'hébergement de données.
Mme Stéphanie Schaer. - Il comporte une partie bureautique et une partie cloud. Ainsi que je l'ai rappelé, il a tout récemment donné lieu à un courrier des ministres rappelant l'existence de la circulaire « Cloud au centre » et de l'article 31 de la loi Sren et précisant que les projets bureautiques devaient également faire l'objet d'une saisine de la Dinum.
M. Dany Wattebled, rapporteur. - Sommes-nous de nouveau passés par l'Ugap ?
Mme Stéphanie Schaer. - Pour l'éducation nationale, il s'agissait d'un marché ad hoc.
M. Dany Wattebled, rapporteur. - L'Ugap n'a donc pas été mobilisée ?
M. Simon Uzenat, président. - Il y a très clairement eu une défaillance dans le cas d'espèce. Qu'un courrier des ministres soit nécessaire pour rappeler des règles en vigueur dans un domaine aussi sensible que celui-ci démontre que certains des rouages de l'appareil d'État ne fonctionnent pas - même si nous avons bien entendu que cela ne relevait pas directement de votre responsabilité directe.
En admettant que nous fassions l'impasse sur le marché de l'Ugap de 2019, les lignes directrices sont claires et vous nous dites aujourd'hui que le plan de réversibilité du HDH n'est pas engagé, ce qui interpelle. De l'autre côté, nous constatons que, sur un marché extrêmement important, l'éducation nationale fait fi des règles en vigueur. Cela commence à faire beaucoup !
Vous avez avancé les taux de 65 % et 95 %, mais nous aimerions que le détail des sommes en question et des périmètres concernés nous soit transmis, dans la mesure où vous n'y intégrez pas la partie cloud du marché de l'éducation nationale, qui représente des volumes financiers significatifs. Je souhaiterais donc pouvoir disposer de ces informations consolidées après cette audition afin d'être en mesure de mesurer la part réelle des entreprises françaises bénéficiaires des marchés de l'État liés au cloud.
Concernant SecNumCloud, nous avons également entendu, au cours de nos auditions, des propos qui interpellent. Dans un certain nombre de cas, l'État impose l'obtention de ce label aux entreprises françaises et ne la requiert pas de la part des géants américains. Il y a là une forme d'opacité et de différence de traitement qui pose question.
Enfin, pour revenir sur le plan de réversibilité de la PDS, les données de santé sont les données sensibles par excellence. Vous comprendrez donc que les parlementaires que nous sommes soient extrêmement préoccupés. Récemment encore, nous avons constaté que l'appareil d'État n'avait pas mis en place de systèmes de sécurité pour bloquer l'attribution de marchés d'ampleur à des acteurs au travers desquels des États étrangers peuvent capter nos données. Hier, dans le Nord, nous avons rencontré des acteurs qui nous ont confirmé que les marchés publics allemands intégraient des règles claires de non-soumission à des législations extraterritoriales. Depuis le début de nos travaux, il y a plus de deux mois, nous voyons bien qu'il s'agit d'un sujet absolument central. Je ne vous cacherai donc pas que vos propos suscitent des interrogations, pour ne pas parler d'inquiétudes.
Mme Stéphanie Schaer. - Peut-être mes propos ont-ils été mal compris concernant le plan de réversibilité. Ce plan a bien été présenté à la Dinum - je n'ai jamais dit le contraire -, mais n'a pas été mis en oeuvre à défaut de migration des données.
M. Simon Uzenat, président. - Il vous a certes été présenté, mais il ne s'est rien passé depuis.
Mme Stéphanie Schaer. - L'existence d'un plan de réversibilité est indispensable dès l'instant où l'on passe en cloud computing.
M. Simon Uzenat, président. - Là encore, nous allons regarder dans le détail les informations liées à ce marché. 6 ans se sont écoulés depuis 2019...
Mme Stéphanie Schaer. - Je tenais juste à préciser mon propos.
M. Simon Uzenat, président. - J'entends bien, mais nous sommes préoccupés par la migration effective.
Mme Stéphanie Schaer. - J'aimerais évoquer un point sur lequel je n'ai pas insisté. Les deux tiers des 140 millions d'euros de consommation de cloud de l'État vont vers les acteurs français et un tiers vers des acteurs labellisés SecNumCloud. Le recours à ces derniers est privilégié dans un grand nombre de cas, dès lors que l'on répond aux critères de la doctrine et de l'article 31 de la loi Sren, qui définit ce qu'est une donnée sensible. Notre droit détermine donc de manière très stricte ce qu'il est possible de faire en termes d'hébergement de données. Cela est retracé dans les chiffres de l'Ugap, que mes équipes suivent de près pour contrôler l'application de la doctrine.
Le recours aux offres labellisées SecNumCloud est donc à la hauteur de l'utilisation que fait l'État du cloud computing. Le site de l'Anssi en répertorie aujourd'hui cinq et plusieurs sont en cours de qualification. L'utilisation de cette offre de services, dont le cahier des charges comporte un critère relatif à l'immunité au droit extraterritorial et des critères de cybersécurité, est donc assez importante. Nous nous appuyons sur cette qualification de l'Anssi, qui est indispensable à l'État pour bénéficier d'outils présentant l'agilité du cloud tout en garantissant la sécurité des données.
Du reste, comme je l'ai indiqué, 95 % des bénéficiaires de la dépense de l'État central en matière de cloud sont des acteurs français, qui ne sont donc pas assujettis à des lois extraterritoriales.
M. Simon Uzenat, président. - Là encore, s'agissant de ces chiffres, il est nécessaire de regarder d'autres éléments, et notamment la durée des marchés. Nous ne pouvons pas additionner des choux et des carottes.
Si l'on ajoute les 74 millions d'euros de l'éducation nationale - même si j'ai bien compris qu'ils intégraient une partie bureautique - à la dépense de l'État en matière de cloud, nous dépassons les 200 millions d'euros et passons de 65 % de bénéficiaires français à moins de 50 %. Nous avons donc besoin de disposer de données consolidées.
Par ailleurs, concernant SecNumCloud, il nous a été dit que ce label garantissait en effet un très haut degré de sécurité, mais qu'il n'était pas nécessaire pour tous les types de données et qu'il était possible d'échapper aux législations extraterritoriales grâce à des marchés publics clairs, à la condition que ceux-ci ne soient pas opérés par l'Ugap, qui peut les attribuer à des géants américains. Si les choses s'étaient passées de cette façon en 2019, même en passant par l'Ugap, cette dernière n'aurait pas été capable d'attribuer le marché ou aurait trouvé des prestataires capables de garantir la sécurité des données en question.
Nombre des opérateurs que nous avons rencontrés nous ont indiqué que le label SecNumCloud était pertinent, mais qu'il pouvait parfois s'avérer très contraignant et que l'État faisait preuve de souplesse, y compris vis-à-vis des géants américains. Nous ne connaissons pas dans le détail les dossiers concernés, mais tout cela pose un certain nombre de questions.
Mme Karine Daniel. - Nous avons bien compris que vous interveniez principalement en amont. Êtes-vous susceptibles d'intervenir également en cas de dysfonctionnement dans la mise en oeuvre de processus numériques ou l'utilisation de logiciels ? Il est toujours plus facile de parler de ce qui fonctionne que de ce qui ne fonctionne pas, mais y a-t-il des dysfonctionnements significatifs en la matière ? Existe-t-il des procédures permettant de rectifier le tir, le cas échéant ?
Mme Stéphanie Schaer. - Nous donnons un avis ab initio sur les projets dépassant le seuil des 9 millions d'euros. Ensuite, nous menons tous les six mois une revue des projets ayant fait l'objet de cette procédure. Il existe un panorama des grands projets numériques de l'État, qui sont une petite cinquantaine et représentent un peu plus de 3 milliards d'euros de dépenses publiques sur plusieurs années - nous comptons en effet les dépenses de construction et celles qui sont liées aux deux premières années de fonctionnement.
Nous préparons une note à l'intention du Premier ministre identifiant les écarts et les projets à risque, qui est partagée avec l'ensemble des ministères. Des propositions de remédiation sont alors formulées concernant ces projets à risque et peuvent donner lieu à un audit approfondi aux termes de l'article 4 du décret du 25 octobre 2019 relatif à la Dinum. Quand les résultats d'un tel audit ne sont pas au niveau, celui-ci peut aboutir à des propositions de repositionnement ou de reconfiguration du projet.
Il s'agit donc d'une démarche continue, menée avec les équipes ministérielles en charge, dans la mesure où ces projets sont conduits sous l'égide de chaque ministère. Les projets sortent de notre champ de vigilance lorsqu'ils parviennent à un niveau de maturité plus avancé, mais peuvent redonner lieu à un audit de la Dinum si les investissements justifient un examen extérieur.
Mme Karine Daniel. - Combien de fois cette procédure a-t-elle été déclenchée ? Pouvez-vous illustrer votre réponse avec quelques exemples significatifs ?
Mme Stéphanie Schaer. - Chaque projet identifié comme étant à risque est examiné dans le cadre de la revue des projets.
Je prendrai l'exemple du système d'information des services d'aide médicale urgente (Samu), qui a été lancé il y a déjà plusieurs années et dont la mise en oeuvre technique a suscité des difficultés. Nous faisons alors des choix en fonction des technologies disponibles sur la base de réanalyses, car le numérique évolue rapidement. Parfois, des technologies qui pourraient être utilisées n'ont pas été identifiées lors du démarrage du projet. C'est ce que nous examinons sur ce projet spécifique. Quelques Samu disposent déjà du système d'information, mais il est nécessaire, pour un projet de cette ampleur, de passer à une autre échelle.
Par ailleurs, les données du panorama sont elles aussi en open data et donc consultables en ligne.
M. Dany Wattebled, rapporteur. - Nous nous intéressons également au rôle de la commande publique comme levier pour l'économie française. Nous nous sommes aperçus à cet égard que nous ne faisions pas beaucoup d'efforts vis-à-vis de nos start-ups. Comment pourrions-nous intégrer leurs technologies innovantes à la commande publique de nos ministères ?
Il faut leur donner du travail et des marchés sur une certaine durée. C'est ce qu'ont fait les États-Unis et nous voyons bien où ils sont parvenus. Pour notre part, nous partons de zéro. Ne pourrions-nous pas faire la même chose demain via la commande publique, à une échelle peut-être moins importante ?
Au niveau européen, avec nos voisins, nous pourrions par exemple donner deux ans à nos start-ups pour développer des innovations répondant à une demande spécifique, puis leur attribuer des marchés. Il n'est plus possible de leur demander d'innover sans leur garantir des marchés derrière. Qu'en pensez-vous ?
Mme Stéphanie Schaer. - La question se pose notamment à l'égard de l'intelligence artificielle. Nous disposons en France d'un écosystème assez dynamique dans ce domaine, et notamment des start-ups. Nous avons proposé d'améliorer la visibilité des solutions existantes, ce qui a été très bien accueilli par l'ensemble de cet écosystème. En effet, pour passer à l'acte d'achat, il faut savoir que le produit existe.
Nous avons donc lancé un appel à manifestation d'intérêt (AMI) reprenant les critères propres à l'État - souveraineté, maîtrise et pérennisation. Nous y avons fait référence à la norme SecNumCloud, qui doit être respectée dès lors que les données traitées sont sensibles, et à l'article 16 de la loi du 7 octobre 2016 pour une République numérique.
L'AMI est en cours, avec une date limite fixée au 15 mai. Nous allons ensuite dépouiller et mettre en avant l'ensemble de ces offres à l'occasion de VivaTech, où le numérique de l'État est présent depuis trois années consécutives. Nous envisageons d'y organiser des rencontres entre les acheteurs publics et ceux qui auront été identifiés dans le cadre de l'AMI. Ces rencontres sont nécessaires pour créer des liens et conclure des marchés, notamment pour les petits acteurs.
Précédemment, la Dinum avait mis en place un système de labellisation, avec la publication sur son site Internet de différentes solutions, mais le catalogage n'a eu l'effet espéré ni du côté des entreprises, qui n'en ont pas vu les conséquences sur leur chiffre d'affaires, ni de celui des acheteurs, qui ne trouvaient pas forcément les solutions qu'ils cherchaient. C'est la raison pour laquelle, dans le cas de l'intelligence artificielle, nous avons choisi de passer à d'autres formats. Nous le faisons en lien étroit avec la direction générale des entreprises (DGE) et la French Tech, avec laquelle nous échangeons pour l'amener à participer à nos travaux.
Des travaux sont également en cours sur la commande publique avec la direction des achats de l'État (DAE) et la direction des affaires juridiques (DAJ) du ministère de l'économie. Il s'agit de trouver une manière de mieux appréhender ces marchés spécifiques au travers des procédures prévues par le code de la commande publique.
Nous recourons par exemple aux marchés innovants, qui sont adaptés au travail avec des start-ups. Aujourd'hui, le seuil est fixé à 100 000 euros. La Dinum a proposé de réfléchir à un relèvement au niveau du seuil prévu au niveau européen, soit 140 000 euros. Un amendement gouvernemental a d'ailleurs été déposé dans le cadre de l'examen du projet de loi de simplification de la vie économique. Cela permettra d'aller un peu plus loin. La French Tech et tout l'écosystème demandaient cette évolution.
Le partenariat d'innovation constitue un autre outil intéressant, mais parfois difficile à manier. Nous réfléchissons avec ceux qui l'ont déjà utilisé et la DAE à la meilleure manière de l'exploiter dans le cas de l'intelligence artificielle. Il s'agit de travailler sur des choses que nous ne pouvons pas spécifier dans un cahier des charges - ce qui est, d'une certaine façon, le propre des start-ups - et de développer des produits que nous ne pouvons pas acheter sur étagère.
Enfin, il est nécessaire de faire en sorte de couvrir l'ensemble de la palette des entreprises qui pourraient répondre aux appels d'offres par le biais de l'allotissement et du marché adressable. De fait, les marchés trop importants freinent les réponses des petites et moyennes entreprises (PME) et des entreprises de taille intermédiaire (ETI), dont les capacités sont limitées par rapport aux montants des marchés. Les lots ou les marchés subséquents doivent rester d'une taille atteignable pour elles. Nous avons partagé cette réflexion avec la DAE, alors que la recherche de mutualisation aboutit parfois à de très gros marchés interministériels.
M. Dany Wattebled, rapporteur. - La DAE est exemplaire car elle héberge ses données chez OVHcloud et Sopra, des entreprises françaises. Les acteurs innovants du numérique nous ont dit qu'ils n'avaient pas besoin d'aides mais souhaitaient simplement que l'État leur confie un projet, leur accorde le temps de le concrétiser et leur attribue ensuite des marchés.
Les entreprises de la French Tech veulent de la profondeur et une vraie vision, pas des marchés de 140 000 euros. S'ils s'engagent à aboutir à une solution en l'espace d'un ou deux ans, il faut leur garantir des marchés récurrents. Toutes nos sociétés se font racheter par les Google, Apple, Facebook, Amazon, Microsoft (Gafam) parce qu'elles n'ont pas de débouchés pérennes et finissent par laisser partir leur savoir-faire. J'aimerais connaître votre point de vue sur ce sujet.
Mme Stéphanie Schaer. - Le relèvement du seuil des marchés innovants était soutenu par la French Tech...
M. Dany Wattebled, rapporteur. - La French Tech ne demande pas de subventions, elle veut des marchés.
Mme Stéphanie Schaer. - Les marchés d'innovation ne sont pas des subventions. Il s'agit de marchés passés pour acheter des prestations innovantes. Nous y avons recouru pour les premiers cas d'usage en matière d'intelligence artificielle et le secteur lui-même souhaitait le relèvement du seuil. Il ne s'agit toutefois que d'une solution parmi d'autres.
Sur l'intelligence artificielle, pour adapter nos vecteurs d'achat, nous avons souhaité disposer, par le biais d'un AMI, d'une meilleure visibilité sur ce qu'il s'agissait d'acheter. Aujourd'hui, dans le numérique, l'achat peut revêtir différentes formes. Nous achetons parfois du service - nous avons de plus en plus de Software as a Service (Saas) -, mais nous pouvons aussi acheter des licences ou des prestations de développement. L'AMI va nous permettre de savoir quel est le modèle économique des entreprises qui proposent des solutions en matière d'intelligence artificielle et si ces dernières sont facilement achetables par le biais des vecteurs existants.
Il existe différents vecteurs, à commencer par les marchés ad hoc passés par un ministère ou au niveau interministériel. La Dinum peut ainsi passer un marché interministériel en tant que de besoin ; nous le faisons par exemple sur le développement. Des start-ups et des PME françaises bénéficient de ces marchés et mettent leurs services à disposition au niveau interministériel.
Le référencement par les centrales d'achat est lui aussi très important et peut parfois s'avérer complexe. Nous pouvons intervenir pour faire en sorte que telle ou telle solution soit bien référencée, ce qui permet qu'elle soit achetée par le biais des marchés passés par ces centrales d'achat. Ce vecteur est aujourd'hui utilisé à grande échelle sur le numérique.
Nous allons faire l'exercice de façon très pratique avec les solutions proposées en matière d'intelligence artificielle. Nous souhaitons en effet que la commande publique contribue à dynamiser le secteur et que les solutions proposées par les entreprises pour répondre aux besoins de l'administration nous enrichissent.
Nous pouvons également rapprocher les administrations des solutions existantes. Il y a un peu plus de 18 mois, où moment où l'intelligence artificielle générative a émergé au premier plan, la Dinum a créé un incubateur baptisé ALLiaNCE, une communauté d'intérêt entre les administrations au sein de laquelle les entreprises qui le souhaitent peuvent présenter des solutions. Le secteur académique y est lui aussi associé car il s'agit de technologies très évolutives et nous devons comprendre comment nous pouvons encore progresser dans ce domaine. Avec l'AMI, nous pensons parvenir à une meilleure compréhension, ce qui nous permettra d'adapter nos vecteurs d'achat.
M. Simon Uzenat, président. - Nous parlons beaucoup du cloud et de l'intelligence artificielle, mais il y a également les suites applicatives. Nous en connaissons bien une, dont nous tairons le nom. Les entrepreneurs que nous avons rencontrés nous ont dit être en mesure de proposer une alternative sérieuse et fiable à cette dernière en l'espace de deux ans, à la condition que les pouvoirs publics jouent le jeu.
Nous savons bien que la suite applicative constitue l'un des points d'entrée de Microsoft sur le cloud. À partir du moment où nous l'utilisons, nous sommes en quelque sorte captifs pour l'hébergement des données. Ce sujet n'est pas du tout anecdotique.
Il faudrait probablement investir quelques dizaines de millions d'euros, mais cela ne paraît pas infaisable compte tenu de ce que les pouvoirs publics mettent sur la table - il suffit pour s'en convaincre de reprendre l'exemple de l'éducation nationale. Nous aurions ainsi la possibilité d'être véritablement souverains. Les outils qui sont développés aujourd'hui semblent loin d'être optimaux à l'usage. Le préfet de la région Hauts-de-France nous donnait ainsi l'exemple d'une boîte mail qui ne permettait pas de programmer l'envoi de mails.
J'ai le sentiment que la Dinum arrive après la bataille, par exemple sur le sujet de l'Ugap. Pourtant, j'imagine qu'avec votre expertise, vous avez la possibilité de faire passer des messages clairs pour que les erreurs commises par le passé ne se reproduisent pas.
Nous avons également été alertés sur le fait que beaucoup de cabinets de conseil étaient liés aux États-Unis et qu'ils aspiraient nos données au travers de leurs études et de leurs missions d'assistance à maîtrise d'ouvrage (AMO). Peu de personnes, y compris chez les élus et les entrepreneurs, en ont conscience. Il faut donc les sensibiliser, les alerter et mettre en place des règles permettant de protéger nos entreprises et nos collectivités.
Concernant le marché de 74 millions d'euros, il y a deux options : soit l'éducation nationale a considéré que la partie cloud était inférieure à 9 millions d'euros et qu'elle n'avait pas à vous saisir - ce qui me paraîtrait assez spécieux -, soit ce seuil était bien dépassé et cela signifie que chacun fait ce qu'il veut. Nous étions ce matin à la DAE, où il nous a été expliqué qu'au-delà d'un certain seuil, les responsables ministériels des achats devaient valider les projets d'achat et qu'un achat ne pouvait pas être présenté sur la plateforme des achats de l'État (Place) sans trace écrite de cette validation. Nous pourrions imaginer, compte tenu des enjeux de souveraineté, qu'un marché ne puisse pas être passé à défaut d'avis de la Dinum.
En tout état de cause, je pense qu'il faudrait procéder à des ajustements urgents dans les rouages de l'État, même si vous n'en portez pas directement la responsabilité.
Mme Stéphanie Schaer. - Sur ce dernier point, le courrier dont j'ai parlé tout à l'heure a mis en place un tel dispositif en passant par les contrôleurs budgétaires et comptables ministériels (CBCM). L'avis de la Dinum sera donc requis pour que le CBCM puisse valider un marché.
Par ailleurs, dans un récent rapport, la Cour des comptes a indiqué souhaiter l'instauration d'un véto budgétaire en cas d'avis défavorable de la Dinum. Aujourd'hui, celle-ci émet un avis conforme. Par conséquent, en cas d'avis défavorable, un projet ne peut pas démarrer et est arrêté la plupart du temps. La Cour des comptes propose de renforcer ce mécanisme en le qualifiant clairement de véto budgétaire.
M. Simon Uzenat, président. - Cela reviendrait à dire que les ministères ne pourraient plus faire ce qu'ils veulent car la Dinum aurait le dernier mot.
Mme Stéphanie Schaer. - La Dinum rend déjà un avis conforme aujourd'hui.
M. Simon Uzenat, président. - Depuis quand ?
Mme Stéphanie Schaer. - Depuis 2019. L'avis rendu par la Dinum au titre de l'article 3 du décret du 25 octobre 2019 est un avis conforme, ce qui signifie qu'il est impossible qu'un projet démarre en cas d'avis défavorable. La Cour des comptes a jugé qu'il serait encore mieux de parler clairement de véto budgétaire.
M. Simon Uzenat, président. - Cela pose problème car les enjeux dont nous avons parlé existaient déjà en 2019. Il y a donc un sujet concernant la sensibilisation au sein de l'État.
Nous allons regarder dans le détail le marché passé par l'éducation nationale. Admettons que la partie cloud soit inférieure au seuil de 9 millions d'euros ; un tel exemple renvoie tout de même une piètre image à nos concitoyens et aux entreprises. Nous ne sommes pas crédibles. Pendant que nous parlons de souveraineté dans l'hémicycle, des articles de presse indiquent que l'éducation nationale recourt à Microsoft. L'ensemble du collectif institutionnel s'en trouve fragilisé. Il y a donc forcément eu des erreurs à un moment donné, que ce soit sur le HDH ou sur l'éducation nationale.
Mme Stéphanie Schaer. - Vous m'avez également interrogée sur les suites bureautiques. Il est vrai qu'il s'agit d'un sujet de préoccupation. Aujourd'hui, la plupart des ministères utilisent des outils bureautiques qu'ils hébergent en leur sein. Nous n'en sommes pas encore à ce que permet le cloud avec les outils collaboratifs.
Cela pose tout de même des questions car nous avons besoin de ces technologies en cloud, dans la mesure où elles permettent de collaborer entre ministères, ce qui n'est pas possible quand chacun d'entre eux héberge ses propres données. Il est important de pouvoir bénéficier de la performance des outils bureautiques qu'offre le cloud computing tout en faisant preuve d'un très haut degré de vigilance. L'utilisation d'Office 365 a d'ailleurs été interdite au niveau de l'État central. Quelques pays européens et la Commission européenne l'utilisent, mais pas la France. Nous utilisons encore les anciennes technologies, mais souhaitons disposer d'outils permettant la collaboration.
Le besoin de tels outils s'est accru durant la crise sanitaire, avec l'émergence du télétravail. Nous avons ainsi développé une messagerie instantanée souveraine, Tchap, qui est utilisée de façon récurrente par près de 300 000 agents, un effectif qui a quasiment doublé en un peu plus d'un an. L'Anssi a témoigné de son utilisation pour piloter différents acteurs pendant les jeux Olympiques. Cet outil est équivalent à des outils commerciaux mais permet de maîtriser complètement la donnée, avec un hébergement en cloud par le ministère de l'intérieur et un protocole maîtrisé, le protocole Matrix, que d'autres États, comme l'Allemagne, utilisent également.
Sur les suites bureautiques, nous cherchons avec l'Allemagne à identifier des briques logicielles en open source auxquelles nous pourrions contribuer à plusieurs pays et qui seraient ensuite réutilisables par l'ensemble de l'écosystème, y compris par des acteurs privés. Nous avons échangé avec des acteurs français fournissant du cloud computing qui sont intéressés par la perspective de distribuer des outils de suite collaborative ainsi qu'avec des éditeurs qui proposent déjà de tels outils. Nous souhaitons en effet contribuer à des communs numériques réutilisables et faire en sorte que cet investissement commun dans des briques logicielles aboutisse à des outils au niveau, incluant les fonctionnalités requises à l'état de l'art.
La Dinum a ainsi mis en place un commun numérique au dernier standard en matière de visioconférence, mais également d'édition. Le projet allemand de suite numérique openDesk propose ainsi de la ressource qui se diffuse ensuite chez les éditeurs de logiciels, les fournisseurs de cloud, les intégrateurs et les opérateurs de services numériques travaillant pour les collectivités. La Dinum opère ensuite pour l'État central ou déconcentré. Il s'agit de contribuer à de la ressource pouvant être utilisée bien plus largement en alternative sur des briques de base.
Nous organisons d'ailleurs les 2, 3 et 4 juin prochains un hackathon ouvert au secteur privé, dans le cadre duquel nous amènerons des équipes de développement à un niveau très technique à utiliser ces briques pour voir ce qu'elles peuvent en faire dans leur écosystème. Nous attendons environ 300 personnes, dont ces acteurs privés, quelques homologues européens ainsi que des étudiants qui pourront toucher du doigt ce que nous faisons au niveau de l'État pour nous inspirer avec d'autres solutions et accélérer ce mouvement, notamment sur les suites bureautiques.
Nous touchons très vite à l'usage de l'intelligence artificielle. Celle-ci est très liée aux applicatifs métiers, mais comporte également une partie plus généraliste pouvant être utilisée au sein de l'État dans le domaine de la bureautique.
L'AMI et nos échanges avec l'ensemble de l'écosystème vont bien évidemment nous inspirer. Nous avançons donc pas à pas pour aboutir à des solutions à l'état de l'art qui répondent à la norme SecNumCloud tout en permettant aux agents publics de bénéficier d'outils collaboratifs leur faisant gagner du temps et limitant les tâches fastidieuses.
M. Simon Uzenat, président. - Merci, madame la directrice. Nous ne manquerons pas de vous solliciter au cours des prochaines semaines pour obtenir des éclairages complémentaires. Nous restons à votre disposition si jamais vous souhaitiez nous apporter des précisions.
Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 19 heures.
Mercredi 7 mai 2025
- Présidence de M. Simon Uzenat, président -
La réunion est ouverte à 14 h 10.
Audition de Mme Aliénor Courvalin, secrétaire générale, M. Maxime Papillon, responsable des achats publics, et M. Jean-Baptiste Lapeyrie, directeur de l'expertise, de l'innovation et de l'international de l'Agence du numérique en santé
M. Simon Uzenat, président. - Nous poursuivons nos travaux sur le rôle que la commande publique peut jouer en faveur de l'innovation, en nous penchant sur le secteur de la santé. Les enjeux de transformation numérique y sont particulièrement importants, avec l'avènement de la e-santé, qui a connu une accélération notable à l'occasion de la crise sanitaire. Elle fait désormais partie de notre quotidien, de la carte Vitale à la téléconsultation, en passant par le service « Mon espace santé ».
À partir de 2021, dans le cadre du Ségur du numérique en santé, 2 milliards d'euros d'investissements ont été annoncés, notamment pour un meilleur partage des données en santé, ce qui renvoie à des questions de souveraineté. Ce montant est suffisamment significatif pour favoriser le développement d'un écosystème français de l'innovation en santé.
Le pilotage de cette politique est assuré par l'Agence du numérique en santé (ANS), groupement d'intérêt public (GIP) qui rassemble le ministère de la santé, la Caisse nationale de l'assurance maladie (Cnam), la Caisse nationale de solidarité pour l'autonomie (CNSA), ainsi que les agences régionales de santé (ARS) et des groupements régionaux d'appui au développement de la e-santé (GRADeS).
Nous recevons aujourd'hui les représentants de l'ANS pour échanger avec eux sur la façon dont leur institution pilote ses projets dans le cadre de la commande publique : Mme Aliénor Courvalin, secrétaire générale, M. Maxime Papillon, responsable du service achat et marché public, et M. Jean-Baptiste Lapeyrie, directeur de l'expertise, de l'innovation et de l'international.
Je vous informe que cette audition est diffusée en direct sur le site Internet du Sénat et fera l'objet d'un compte rendu publié. Je vous rappelle également qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, à savoir 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »
Conformément à la procédure applicable aux commission d'enquête, Mme Aliénor Courvalin, M. Maxime Papillon et M. Jean-Baptiste Lapeyrie prêtent successivement serment.
Je vous laisserai dans un premier temps exposer brièvement le rôle et l'organisation de l'ANS, ainsi que les principaux projets de transformation numérique du système de santé dont vous assurez le pilotage. Vous pourrez ensuite nous présenter la doctrine que vous avez élaborée ou que vous suivez en matière d'hébergement des données de santé.
Si la certification des hébergeurs de données de santé (HDS) est obligatoire, est-elle, selon vous, suffisante pour protéger ces données des législations extraterritoriales auxquelles sont soumis certains hébergeurs non européens ? Sur ce point précis, vous pourrez nous préciser quelles sont vos relations avec la Plateforme des données de santé (PDS) et si vous êtes associés aux réflexions sur des solutions d'hébergement souveraines, conformément aux annonces récentes du Gouvernement. Pour notre part, nous avons évoqué ce point, hier, avec les représentants de la direction interministérielle du numérique (Dinum).
Vous pourrez par ailleurs nous expliquer si, dans le cadre de la commande publique et au regard de vos missions, le recours aux procédures formalisées permettant d'offrir aux acheteurs publics des solutions innovantes, comme le dialogue compétitif, la procédure avec négociation ou le partenariat d'innovation, est courant.
Plus généralement, vous pourrez nous faire part, sur la base de votre expérience de l'achat public, des éventuelles insuffisances du cadre réglementaire actuel pour soutenir l'innovation ou, au contraire, des bonnes pratiques que vous avez pu mettre en place.
Mme Aliénor Courvalin, secrétaire générale de l'Agence du numérique en santé. - Comme vous l'avez rappelé, l'ANS est un GIP qui a été créé en 2019 et placé sous la tutelle du ministère chargé de la santé. Elle a succédé à l'Agence des systèmes d'information partagés de santé (Asip-Santé), elle-même issue de la fusion de deux GIP : celui qui était chargé de la production des cartes des professionnels de santé (CPS) et celui qui gérait le dossier médical partagé (DMP).
Notre mission principale consiste à structurer, réguler et accompagner le développement du numérique en santé, avec deux grands objectifs : d'une part, améliorer l'efficacité dans la prise en charge médicale ; d'autre part, garantir la sécurité des données de santé.
Pour assurer cette mission, l'ANS assume trois rôles. Tout d'abord, elle intervient, de façon historique, en qualité d'opérateur. Elle délivre ainsi les CPS et conçoit et maintient les services numériques nationaux. Ensuite, elle joue un rôle de régulateur, qui s'est particulièrement développé au cours des cinq dernières années, sous l'impulsion du Ségur du numérique en santé. Enfin, elle assure la promotion et l'accompagnement au déploiement des usages et des bonnes pratiques du numérique en santé auprès des acteurs de l'écosystème.
L'ANS emploie aujourd'hui 250 collaborateurs. Pour l'année 2025, elle dispose d'un budget d'environ 180 millions d'euros pour ses dépenses de fonctionnement, ses investissements et ses dépenses de personnel, hors crédits d'intervention.
En 2024, le montant des achats réalisés par notre agence s'est élevé à près de 135 millions d'euros, toutes taxes comprises, contre 80 millions d'euros en 2020. La croissance de nos achats au cours des cinq dernières années a accompagné la croissance de l'activité de l'ANS, notamment le développement de nouvelles missions, telles que la régulation.
Aujourd'hui, 75 % de ces achats concernent des marchés informatiques ou assimilés. Ils comprennent par exemple l'achat de puces pour la production des CPS. Le reste est réparti entre les marchés de prestations intellectuelles, les prestations de services et, pour une part résiduelle, les achats de fournitures.
La totalité de ces achats est réalisée par l'ANS pour ses besoins propres, c'est-à-dire pour son fonctionnement interne et la réalisation de ses missions. Autrement dit, elle ne procède à aucun achat pour le compte d'autres structures.
Les achats de l'ANS représentent entre quinze et vingt procédures par an. Nous lançons des appels d'offres ouverts et concluons nos marchés sous la forme d'accords-cadres mono-attributaires ou multi-attributaires.
Bien entendu, nous sommes soumis au code de la commande publique et assujettis à l'arrêté du 19 juillet 2018 portant réglementation sur les marchés publics des organismes de sécurité sociale. À ce titre, toutes les consultations dont le montant excède 4 millions d'euros hors taxes sont présentées pour avis, avant leur publication, à la Commission consultative des marchés des organismes de sécurité sociale (CCMOSS). Nous sommes également soumis à l'avis conforme préalable de la Dinum pour tous les projets informatiques dont le montant excède 9 millions d'euros.
Du reste, nous avons mis en place des procédures internes auprès de notre gouvernance, notamment la présentation pour approbation à notre conseil d'administration de tous les marchés dont le montant est supérieur à 12 millions d'euros.
M. Jean-Baptiste Lapeyrie, directeur de l'expertise, de l'innovation et de l'international de l'Agence du numérique en santé. L'ANS joue un rôle historique d'opérateur pleinement intégré dans le développement de la santé, qui se décline en deux volets. Premièrement, nous assurons la conception et le déploiement de projets nationaux, tels que le système d'information pour le service d'aide médicale urgente (SI-Samu), le système d'information pour le suivi des victimes d'attentats et de situations sanitaires exceptionnelles (SI-VIC), le système d'information des centres antipoison (SI-CAP), le site santé.fr et le site du service d'accès aux soins (SAS). Il s'agit de systèmes nationaux régaliens.
Deuxièmement, nous avons largement développé la fourniture de services socles pour l'identification des professionnels de santé. Un annuaire des professionnels de santé a ainsi été établi, en lien avec les ordres et les autres professions. Cette mission s'est aussi traduite par la délivrance de la CPS, qui peut désormais être dématérialisée : initialement dédiée à la facturation des actes, elle permet aujourd'hui l'identification numérique des professionnels via la plateforme Pro Santé Connect (PSC). Celle-ci peut être utilisée par de nombreux opérateurs publics ou des industriels.
Nous avons également créé le répertoire national de l'offre de soins et des ressources (ROR), qui permettra progressivement d'informer le public sur la répartition de l'offre entre les acteurs libéraux et hospitaliers.
Ce second volet d'action s'est beaucoup développé dans la période récente, notamment sous l'influence de la loi de financement de la sécurité sociale (LFSS) pour 2023, avec l'évolution des articles du code de la santé publique associés.
Les mécanismes ainsi mis en place doivent encore être précisés par arrêté du ministère de la santé. Ils permettent à l'ANS d'éditer des référentiels, désormais opposables, concernant l'interopérabilité, la sécurité et l'éthique des services du numérique en santé. Dans certains cas, il est possible de contrôler la qualité et la conformité des solutions à ces référentiels. Dans ce cadre, nous procédons à des audits sur site. Un décret en cours d'élaboration nous permettra bientôt de prendre des sanctions, en lien avec le ministère de la santé.
La sanction ne constitue qu'un levier. Notre objectif est surtout de développer la e-santé et la confiance dans le numérique, notamment dans le contexte des cyberattaques, comme en témoigne la feuille de route du numérique en santé 2023-2027. L'ANS ne produit pas des référentiels pour le plaisir ; elle travaille avec les acteurs de l'écosystème dans l'objectif de garantir l'échange de documents ou de prescriptions.
Nous travaillons également au développement de capacités de vérification. Nous nous efforçons d'accompagner au mieux les industriels afin qu'ils comprennent la trajectoire choisie, les systèmes en cours de développement et les référentiels qui prendront effet à l'avenir.
Du reste, nous assurons le développement de grands programmes nationaux pour conduire la transformation numérique, sous l'égide de la délégation au numérique en santé (DNS).
L'ANS assure la partie opérationnelle de ces programmes, ce qui oblige à traiter une palette de sujets assez complexes, au-delà de l'interopérabilité. Je pense à la conduite du changement, à la compréhension des aides d'État, aux mécanismes d'achat complexes et au pilotage avec les industriels.
L'objectif du Ségur du numérique en santé était d'alimenter la plateforme « Mon espace santé » avec 250 millions de documents par an. Au mois de mars dernier, on comptabilisait déjà plus de 35 millions de documents ; la trajectoire sur laquelle nous sommes engagés est donc prometteuse.
Voilà comment l'ANS opère des services, définit des règles et bâtit la e-santé dans le cadre d'un « État-plateforme ». Ce dernier crée une ossature, tandis que le secteur privé et les industriels fournissent des services à valeur ajoutée.
Dans le même temps, nous pilotons des grands programmes de transformation pour accélérer le déploiement de la e-santé : Ségur du numérique en santé, programme « Cyber accélération et résilience des établissements de santé » (CaRE), projet Structures 3.0, etc.
Quelques mots sur la doctrine du numérique en santé. La feuille de route Ma santé 2022 et la feuille de route du numérique en santé 2023-2027 fixent une trajectoire et des priorités pour l'ensemble des acteurs de l'écosystème, privés comme publics.
La feuille de route pour la période 2023-2027 définit quatre axes stratégiques : développer la prévention et rendre chacun acteur de sa santé ; redonner du temps aux professionnels de santé et sécuriser la prise en charge des personnes, grâce au numérique ; améliorer l'accès à la santé pour les personnes et les professionnels chargés d'orientation ; déployer un cadre propice au développement d'usages et d'innovations digitales en santé.
Dans ce cadre, l'ANS s'efforce de poser des fondations communes pour l'innovation et la fourniture de services par les industriels, au profit des professionnels et des patients.
La doctrine donne une vision technique de la déclinaison de la feuille de route du numérique en santé 2023-2027. Nous devons veiller à ne créer aucune concurrence entre le secteur public et privé : il n'est pas question que nous fassions tous la même chose. Il convient donc de définir clairement ce qui relève du secteur privé.
Vous parliez de souveraineté. Précisément, la plateforme « Mon espace santé », gérée par l'assurance maladie, est un service régalien qui permet aux patients de reprendre la main sur leurs données. Nous devons fixer des règles pour garantir la fourniture de services à valeur ajoutée.
L'identification des professionnels est essentielle, comme celle des patients, au moyen de la carte Vitale et de l'Identité nationale de santé (INS). On peut ainsi échanger les données de santé via la messagerie sécurisée de santé.
Nous devons créer des interfaces et des règles d'interopérabilité et de sécurité communes. Il convient d'identifier les évolutions prévues, d'indiquer si elles sont de nature réglementaire ou fonctionnelle et de désigner les acteurs auxquels elles s'adressent.
La doctrine du numérique en santé doit donner une vision aux industriels, notamment sur les échéances et les évolutions à venir, afin qu'ils puissent se mettre en conformité avec les référentiels et contribuer pleinement au développement de la e-santé.
M. Simon Uzenat, président. - La certification HDS est-elle suffisante pour nous préserver des législations extraterritoriales ? C'est une question très précise, à laquelle nous vous demandons de répondre par oui ou par non.
Par ailleurs, l'ANS est-elle associée aux projets de réversibilité et de migration vers des solutions souveraines des plateformes d'hébergement des données de santé ? Si oui, de quelle manière procède-t-elle ?
M. Jean-Baptiste Lapeyrie. - Le dispositif HDS est ancien. De manière très originale, il s'adresse non seulement aux responsables de traitement des données, mais aussi directement aux fournisseurs et hébergeurs. La sécurité doit être assurée de bout en bout.
Le décret définissant le premier référentiel du dispositif HDS date de 2006. En 2018, l'agrément décerné par les entités qui préexistaient à l'ANS a été remplacé par un dispositif de certification. L'idée était de se raccrocher non plus au référentiel que nous produisions nous-mêmes, mais aux normes internationales définies par l'International Organization for Standardization (ISO), de façon à permettre une industrialisation du référentiel.
À la suite de l'arrêt Schrems II, rendu par la Cour de justice de l'Union européenne (CJUE) en 2020 et depuis 2022, nous avons entamé des travaux pour élaborer une deuxième version du référentiel. Cette évolution prend du temps et a été soumise à concertation. Dans ce cadre, nous tenons compte de différents avis, dont celui de la Commission européenne.
La nouvelle version du référentiel a été approuvée par arrêté publié au Journal officiel en mai 2024. Elle comporte surtout des évolutions techniques. Il faut bien le reconnaître, elle n'apporte pas des garanties complètement suffisantes en matière de souveraineté. Il n'empêche que nous avons accompli de grandes avancées en ce domaine. Premièrement, la localisation des données doit être assurée sur le territoire d'un pays situé au sein de l'Espace économique européen (EEE).
M. Simon Uzenat, président. - Cela ne répond pas à ma question sur l'extraterritorialité...
M. Jean-Baptiste Lapeyrie. - Deuxième avancée : les accès distants. La prestation d'hébergement implique parfois un accès distant, pour des raisons d'administration ou de supervision. Désormais, cet accès doit être fondé sur une décision d'adéquation ou, à défaut, sur une des garanties appropriées au sens de l'article 46 du règlement général sur la protection des données (RGPD).
J'insiste, l'obligation de stockage des données au sein de l'EEE n'empêche pas à un opérateur situé hors de cette zone d'y accéder.
M. Dany Wattebled, rapporteur. - Pourriez-vous être plus précis sur ce point ? Qu'en est-il de l'atteinte à notre souveraineté ?
M. Jean-Baptiste Lapeyrie. - J'ai bien indiqué que la nouvelle version du référentiel ne répondait pas entièrement à vos attentes en ce domaine, malgré les efforts que nous avons accomplis.
Enfin, nous avons assuré plus de transparence. Ainsi, l'hébergeur soumis à la législation d'un pays qui n'assure pas un niveau de protection adéquat doit lister les réglementations extra-européennes pouvant l'obliger à permettre un tel accès, indiquer les mesures prises pour atténuer les risques, préciser les risques résiduels d'accès non autorisé, malgré ces mesures, et assurer la publicité des transferts de données effectués dans le cadre d'éventuels accès non autorisés.
Il doit donc rendre public et mettre à jour, sur son site Internet, un descriptif détaillé de tout transfert de données de santé à caractère personnel hors de l'EEE, ainsi que tout risque d'accès à ces données sous l'empire d'une législation étrangère.
M. Dany Wattebled, rapporteur. -Vous avez répondu par la négative à la question du président, cela nous suffit. Vous avez beau enrober vos propos, c'est bien cette réponse qui figurera dans le compte rendu de la présente audition, au début de laquelle vous avez prêté serment.
Ce qui m'inquiète beaucoup est le fait que nous puissions livrer des données sensibles via un appel d'offres à des hébergeurs soumis à des législations extraterritoriales ; je pense à Microsoft, pour être précis. Avez-vous été approché pour donner votre avis au sujet de l'hébergement de la plateforme des données de santé ?
M. Jean-Baptiste Lapeyrie. - Non, nous n'avons pas été sollicités sur cet aspect.
M. Dany Wattebled, rapporteur. - On ne vous a pas du tout consultés, alors que vous êtes censés protéger les données numériques en matière de santé ?
M. Jean-Baptiste Lapeyrie. - C'est bien cela.
M. Dany Wattebled, rapporteur. - Dans ce cas, à quoi l'ANS sert-elle ? On peut se demander s'il n'y a pas lieu de la supprimer !
M. Simon Uzenat, président. - Au moment où nous nous parlons, êtes-vous associés aux questions de réversibilité ?
M. Jean-Baptiste Lapeyrie. - Non, ce n'est pas le cas.
M. Dany Wattebled, rapporteur. - Encore une fois, à quoi sert donc votre agence ? Vous avez parlé de souveraineté. Justement, la sécurisation des données ne relève-t-elle pas de votre domaine ?
M. Jean-Baptiste Lapeyrie. - Nous mettons en oeuvre la certification HDS et le référentiel associé. Néanmoins, l'ANS n'a nullement pour mission de contrôler ce que font les différents acteurs économiques de l'hébergement des données de santé ou le type de solution auquel ils accèdent.
M. Dany Wattebled, rapporteur. - Qu'en est-il de la sécurisation des transferts et des paiements, notamment pour les médecins ?
M. Jean-Baptiste Lapeyrie. - L'opposabilité des référentiels n'existe que depuis la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, dite loi OTSS. Quant au contrôle de la conformité des solutions aux référentiels, il a été créé par la LFSS pour 2023. Or son décret d'application est toujours en cours d'élaboration au Conseil d'État. Il se trouve que ces dispositifs ne donnent pas à l'ANS un pouvoir de décision initiale sur les choix opérées en matière de données de santé.
M. Dany Wattebled, rapporteur. - Comment expliquer qu'il existe plus de cartes Vitale que de Français dans notre pays ?
M. Jean-Baptiste Lapeyrie. - Concernant les cartes Vitale, ce sont la Cnam et le groupement d'intérêt économique (GIE) SESAM-Vitale qui sont compétents. L'ANS n'a aucun pouvoir en ce domaine.
M. Simon Uzenat, président. - Quelle lecture faites-vous des interactions entre les différents acteurs que vous avez évoqués ? À mesure que nous approfondissons ce sujet, un grand brouillard semble se lever et j'ai du mal à comprendre s'il est lié à la réalité de la situation. Cela nuit à l'efficacité et à la cohérence de l'action publique. On observe des distorsions majeures entre les discours des élus ou du Gouvernement et les actions mises en oeuvre sur le terrain.
Nous aimerions comprendre le stop and go et les relations hiérarchiques qui peuvent exister entre l'ANS, la Dinum et les ministères, afin que nous puissions proposer d'autres schémas et éviter de reproduire un certain nombre d'erreurs.
Pour que les choses soient claires, nous ne vous mettons pas en cause personnellement, d'autant qu'au cours de nos travaux, nous entendons des professionnels qui n'étaient pas forcément en fonctions au moment où les décisions ont été prises. Seulement, il nous faut tenir compte de la continuité de l'action de l'État. Notre préoccupation est d'aller au fond des sujets, pour pouvoir proposer des dispositifs qui sécuriseront la cohérence de l'action publique.
Concernant les marchés innovants, j'ai évoqué le dialogue compétitif et la procédure avec négociation, c'est-à-dire la mobilisation des forces vives de l'écosystème français de l'innovation numérique. Hier, la Dinum a évoqué des appels à manifestation d'intérêt (AMI) et divers dispositifs qui, sur le papier, peuvent être intéressants. Toutefois, à entendre les opérateurs économiques, on voit combien il est nécessaire de passer un cap et de disposer enfin de véritables leviers. Eu égard aux enjeux qui se profilent, nous savons parfaitement que les volumes financiers sont très significatifs.
J'ai compris que vous travailliez étroitement avec le secteur privé, qui est à la pointe sur les sujets que nous évoquons aujourd'hui. Comment mobilisez-vous les ressources exceptionnelles dont nous disposons en France et en Europe afin que nous puissions garder un temps d'avance, y compris dans le cadre des réflexions conduites par l'État ?
Le sourcing inversé est souvent invoqué dans le cadre de nos travaux. On peut partir du principe que la puissance publique sait par avance de quoi elle aura besoin. Or ce qui importe est la connaissance du marché et la capacité à entreprendre.
Beaucoup d'intervenants ont semblé nous dire que les entreprises françaises n'étaient pas capables de rivaliser avec les géants américains en matière d'hébergement de données. Si elles avaient été sollicitées et qu'on leur avait garanti un soutien financier adéquat, elles en auraient été tout à fait capables.
Quelle est votre feuille de route en ce domaine ? Quels liens avez-vous avec les acteurs privés pour accompagner leur montée en compétences, dans l'intérêt du secteur public ?
M. Jean-Baptiste Lapeyrie. - Nous sommes convaincus qu'il faut continuer d'accompagner un certain nombre d'acteurs déjà présents - les nouveaux entrants ne doivent pas être seuls pris en compte - pour préparer l'innovation de demain, au bénéfice des patients et des professionnels. Bien sûr, nous faisons avec les moyens dont nous disposons.
Premièrement, nous sommes membre fondateur de PariSanté Campus, avec l'Institut national de recherche en sciences et technologies du numérique (Inria), l'Institut national de la santé et de la recherche médicale (Inserm), l'université Paris Sciences & Lettres (PSL) et la PDS. Le but est de créer un environnement favorable de proximité en lançant un certain nombre d'acteurs.
Parmi ces 130 structures, on trouve non seulement des start-ups, mais aussi des PME, des entreprises de taille intermédiaire et de grands groupes. La proximité entre les acteurs institutionnels, les services publics, les laboratoires de recherche et les masters universitaires doit aider à créer un environnement favorable à l'émergence de nouvelles solutions de croissance, avec ces acteurs clefs.
En matière de numérique en santé, la marche d'entrée est élevée et difficile à franchir. Je pense notamment aux échanges de données de santé, ainsi qu'aux enjeux d'interopérabilité et de sémantique qu'ils soulèvent. De plus, pour ce qui concerne les dispositifs médicaux, les processus d'évaluation sont nécessairement longs : on ne parle pas d'idées qui germent un beau jour et qui, le mois suivant, se traduisent sur les écrans. Il faut accompagner les acteurs en conséquence, ce qui suppose des efforts s'inscrivant dans le temps long.
Deuxièmement, il faut être à l'écoute de ces acteurs. Pourrait-on faire plus ? Certainement. La question fondamentale reste néanmoins : les différents acteurs ont-ils besoin de nous ? Ont-ils compris tous les tenants et les aboutissants ?
Les acteurs historiques connaissent tous les méandres que vous avez évoqués, qu'il s'agisse des différents interlocuteurs, des formes d'hébergement ou des nombreuses règles qu'il convient de respecter. Pour les aider au mieux, nous leur avons dédié des parcours et des formations spécifiques, notamment des formations en ligne et des webinaires. Nous allons à leur contact et leur proposons des entretiens particuliers. Ils comprennent déjà le numérique, mais nous essayons de leur donner des clefs supplémentaires.
Dans la même logique, nous travaillons avec les autres acteurs institutionnels de la santé pour accroître encore la visibilité de l'action publique, grâce au Guichet national de l'innovation et des usages en e-santé (G_nius). Nous nous efforçons de répondre aux questions suivantes : que pouvez-vous faire quand vous arrivez dans le domaine de la e-santé ? Quels sont les différents types de financements existants, qu'ils soient locaux ou nationaux ? Quelle est la réglementation qui s'applique ? À quel guichet devez-vous vous adresser ?
Nous tentons d'assurer une présentation groupée de l'ensemble de ces dispositifs, pour que les acteurs aient davantage de visibilité. Certes, ces initiatives ne relèvent pas de la commande publique, mais elles permettent de mieux s'orienter dans le dédale du numérique en santé - si la composante « numérique » est complexe, la composante « santé » l'est aussi.
Tout aussi concrètement, nous menons les appels à projets Structures 3.0. Au total, dix-sept expérimentations ont été réalisées depuis 2020. L'idée est de cofinancer un déploiement avec une entreprise et une structure d'accueil, plutôt dans le secteur médico-social, pour leur mettre à toutes deux le pied à l'étrier.
M. Dany Wattebled, rapporteur. - Quel est le budget dédié à ces initiatives ?
M. Jean-Baptiste Lapeyrie. - Aujourd'hui, ces crédits sont de l'ordre de 3 millions d'euros.
M. Dany Wattebled, rapporteur. - Il s'agit donc de microprojets...
M. Jean-Baptiste Lapeyrie. - Ce ne sont pas les plus grands budgets que déploie la puissance publique dans ces domaines, nous en convenons. Mais - j'y insiste -,c'est le moyen de mettre le pied d'un certain nombre d'acteurs à l'étrier. Les intéressés sont concrètement mis au contact de l'offre de soins, le but étant d'obtenir des résultats le plus tôt possible.
À cet égard, nous ne menons pas une politique industrielle : l'idée est de faire émerger ces initiatives dans la pratique de l'offre de soins, laquelle change sans cesse, et d'obtenir de premiers retours d'expérience. Ce n'est évidemment qu'une première marche, très modeste, mais nous nous efforçons de mener ces efforts à notre échelle.
M. Simon Uzenat, président. - Cette logique d'incubation peut évidemment avoir son intérêt. Mais, ce qui ressort de nos échanges avec les professionnels du secteur, c'est que les projets de taille critique, qui sont fondamentaux, supposent à un moment ou un autre un effet de levier, donc un effort de plusieurs dizaines de millions d'euros de la part de la puissance publique, comme par exemple pour développer une alternative souveraine à une suite bureautique bien connue.
Pour accompagner la montée en puissance d'un écosystème français et européen sur tous ces sujets, nous avons besoin d'une masse critique. Or, selon vos propres termes, vous faites avec les moyens dont vous disposez... C'est une réalité pour tous les acteurs publics aujourd'hui, et l'on peut bien sûr la déplorer. Mais, dans l'absolu, de quel budget auriez-vous besoin pour aider l'écosystème à monter en compétence dans des délais resserrés ?
Aujourd'hui, il est urgent d'agir, compte tenu de ce qui est en train de se passer de l'autre côté de l'Atlantique. Nous n'avons plus le temps d'attendre.
M. Dany Wattebled, rapporteur. - Pouvez-vous privilégier les projets qui vous paraissent réellement exceptionnels et prioritaires ? Ne faut-il pas partir des besoins pour assurer, le cas échéant, une certaine pérennité des commandes ? Si l'on ne déploie pas les moyens nécessaires, la France ne fera qu'amorcer ces chantiers avant qu'un pays étranger ne les reprenne à son compte en offrant des ponts d'or à ceux qui les conduisent.
M. Jean-Baptiste Lapeyrie. - Les 3 millions d'euros que j'évoquais sont dédiés à l'innovation et aux start-ups.
D'autres acteurs du numérique en santé bénéficient du Ségur numérique. Ce sont de très bons acteurs, mais ils n'entrent pas dans la même catégorie. Pour beaucoup, ils sont d'envergure nationale ou européenne et appartiennent au secteur depuis un certain temps, qu'il s'agisse de la médecine libérale ou du monde hospitalier. Je le répète, ils n'entrent pas dans la catégorie des start-ups : c'est pour cela que je les ai moins évoqués.
La gestion du tissu industriel de l'innovation ne figure pas parmi les missions de régulation assurées par l'ANS. Nous n'avons pas vocation à créer de futurs champions, même s'il s'agit bien sûr d'un sujet passionnant, du fait de l'énergie considérable de ce secteur et de la profusion d'acteurs du numérique en santé.
À l'instar des États-Unis, certains pays européens développent aujourd'hui, entre autres, des aides aux dispositifs médicaux numériques. Ils poussent beaucoup leurs solutions innovantes sur le terrain. Je pense notamment à l'Allemagne, que nous essayons de copier : nos voisins allemands jouent un rôle moteur dans ce domaine.
Ce travail est bien sûr mené au profit des patients, mais, en la matière, nous sommes également face à un sujet industriel : il s'agit de créer une industrie à l'horizon de cinq ou de dix ans.
Ces missions ne sont pas de notre ressort. Nous poussons les acteurs à se déployer dans le sillon numérique. Nous avons obtenu des financements à cette fin, mais il ne s'agit clairement pas de start-ups : nous parlons plutôt d'acteurs déjà établis sur le marché. Pour la plupart, ils sont français ou européens.
Avec l'espace européen des données de santé (EEDS), nous sommes sur le point de prendre un virage important. Les textes d'orientation ont été publiés au mois de mars dernier ; ils uniformisent un certain nombre d'éléments relatifs aux solutions permettant de stocker des données de santé, en matière d'interopérabilité.
Globalement, la concurrence est susceptible de se développer à l'échelle européenne. Elle sera peut-être moins forte sur les métiers de santé stricto sensu, exception faite du biomédical. Mais, par ailleurs, elle risque de s'accroître fortement dans les mois et les années qui viennent.
M. Simon Uzenat, président. - Pourriez-vous nous donner le détail des opérateurs économiques avec lesquels vous travaillez de près ou de loin ? Nous pourrons ainsi connaître la ventilation précise des crédits en fonction de la localisation de ces acteurs. Certes, dans les phases d'expérimentation et de construction de l'offre, ils n'ont pas directement accès aux données de santé, mais nous avons tout de même un certain nombre de craintes à ce sujet.
Vous évoquez le déploiement des systèmes d'information. En la matière, le danger est qu'un acteur finisse par se rendre incontournable et, en définitive, aspire de vastes pans des données de santé. Or, dans l'intérêt des patients eux-mêmes, il faut rendre ces systèmes complètement étanches.
S'il y a des données sensibles, ce sont bien les données de santé. C'est précisément pourquoi bon nombre de nos concitoyens rechignent à se rendre sur les espaces numériques. En tant que parlementaires, nous avons la responsabilité de garantir la sécurité et la souveraineté de ces outils.
Enfin, au-delà des 135 millions d'euros d'achats que vous réalisez, nous souhaitons savoir, dans la mesure du possible, quel est l'ordre de grandeur des aides fournies par vos homologues européens, pour apprécier un éventuel retard de la France en la matière.
M. Daniel Salmon. - Aujourd'hui, ce qui fait la force d'acteurs numériques comme Microsoft, c'est le vaste écosystème dont ils bénéficient. L'Europe est-elle en mesure de créer assez rapidement de tels écosystèmes avec des acteurs privés, en assurant une interopérabilité entre ces derniers ?
M. Jean-Baptiste Lapeyrie. - Il s'agit là d'un sujet complexe.
Pour notre part, nous nous focalisons sur les enjeux du numérique en santé et sur les questions qu'ils impliquent. Il paraît simple de dire ce qu'est une donnée de santé, sur la base d'une prescription. Mais, dès que l'on entre dans le domaine du numérique en santé, il convient d'identifier le patient comme le professionnel, de déterminer pourquoi le premier se présente devant le second, de savoir si l'on produit des actes ou des médicaments et selon quelle nomenclature.
Pour sa part, l'ANS se focalise aujourd'hui sur ces aspects : comment représente-t-on et partage-t-on la donnée de santé ? Nous n'abordons pas du tout les sujets d'infrastructures, qui sont traités par beaucoup d'autres acteurs. À ce titre, je peux avoir un avis en tant que citoyen, mais non en tant que représentant de l'ANS.
Nous nous appuyons sur les standards internationaux en nous efforçant de nous y conformer le plus possible : les industriels français ou étrangers ne doivent pas se retrouver face à un système franco-français, pour ne pas dire franchouillard, qui les empêche d'aller vers l'extérieur. Nous y veillons très attentivement.
En parallèle, nous faisons en sorte que nos dispositifs prennent en compte les spécificités françaises. Ainsi, contrairement aux pays anglo-saxons, la France ne catégorise pas les patients en fonction de leur race ou de leur religion.
Bref, nous voulons que le tissu industriel dispose des bases les plus proches des standards internationaux, mais nous sommes tournés vers le domaine spécifique du numérique en santé.
M. Jean-Luc Ruelle. - Vos fournisseurs se renouvellent-ils régulièrement ou sont-ils généralement les mêmes ? En outre, organisez-vous des phases de sourcing ou de dialogue technique avec les entreprises avant le lancement de certains appels d'offres ? Comment parvient-on à favoriser les entreprises françaises, voire européennes, dans ce vaste processus d'achat ?
M. Maxime Papillon, responsable des achats publics de l'Agence du numérique en santé. - L'ANS organise effectivement des phases de sourcing préalables à chaque procédure, impliquant une veille technique et technologique. Nous devons impérativement savoir avec qui nous travaillons.
Ces éléments sont susceptibles d'influencer la manière dont nos besoins sont décrits et perçus. Ainsi, plus les procédures sont importantes, plus les sourcings sont menés en amont. Nous nous efforçons d'avoir l'écosystème de fournisseurs le plus large possible, des start-ups aux majors en passant par les PME et TPE, selon les typologies de marchés.
L'objectif est aussi de détecter les obstacles que pourraient rencontrer ces entreprises, qu'elles soient françaises, européennes ou extra-européennes. Nous entendons, ce faisant, conduire notre réflexion sur la manière dont nous allons transcrire nos besoins et exprimer nos exigences - nous savons quelle incidence concurrentielle ces éléments peuvent avoir -,dans le respect du cadre de la commande publique, évidemment.
Comme l'a rappelé la directrice des affaires juridiques (DAJ) du ministère des finances, nous ne pouvons pas invoquer une quelconque préférence française ou européenne. Nous devons rester dans la réponse aux besoins, dans une juste exigence, et nous ne surspécifions pas notre marché. En ce sens, les opérations de sourcing sont extrêmement éclairantes. Grâce à elles, nous pouvons dimensionner précisément nos besoins.
Quant au parc de fournisseurs de l'ANS, il se renouvelle de manière régulière. Nous n'appliquons pas de statu quo et n'accordons pas de prime au sortant. Nous ne changeons pas pour changer, mais nous ne nous interdisons pas non plus le changement. Nous savons le coût que celui-ci représente, notamment au titre de la réversibilité des systèmes d'information, mais on constate un vrai turn-over, un vrai renouvellement des fournisseurs de l'agence.
M. Jean-Baptiste Lapeyrie. - Je précise que l'hébergement des données de santé fait l'objet, de notre part, d'une attention toute particulière. Il s'agit en effet d'un sujet on ne peut plus sensible.
M. Simon Uzenat, président. - Pouvez-vous nous préciser les avantages et les inconvénients de l'organisation actuelle de l'ANS en GIP ? Que pourrait apporter votre rattachement à la Dinum ?
J'ai noté que vous mobilisiez un certain nombre d'acteurs dans le cadre du GIP. Mais on peut aussi déplorer une forme d'atomisation de l'action publique : ne peut-on pas envisager, demain, une forme de rationalisation, gage d'une plus grande efficacité et d'une meilleure défense de la souveraineté des données ? Vous pourrez bien sûr répondre à cette question ultérieurement, par écrit.
M. Jean-Baptiste Lapeyrie. - Nous sommes conscients de la vaste réflexion dont les opérateurs de l'État font actuellement l'objet. Le règlement EEDS sera, en outre, lourd de conséquences pour l'agence : nous allons probablement devoir assumer de nouvelles missions, en particulier en matière de régulation, attribution que nous avons déjà commencé à développer.
Nous prendrons soin de répondre par écrit à cette question, qui soulève des enjeux d'hébergement, de sécurité ou encore d'interopérabilité. Peut-être un certain nombre de synergies peuvent-elles être menées avec la Dinum, mais, sur ce point, je ne suis pas en mesure de vous répondre à chaud.
M. Simon Uzenat, président. - Si je vous pose cette question, c'est parce que vous avez à traiter de données particulièrement sensibles.
Vous évoquez des enjeux de déontologie et de sécurité : les bonnes pratiques et les diverses règles auxquelles vous travaillez pourraient facilement s'étendre, demain, à bien d'autres sujets que la santé. Une telle démarche pourrait être gagnant-gagnant pour l'ensemble de l'écosystème public.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 15 heures.