- Mardi 20 mai 2025
- Mercredi 21 mai 2025
- Les enjeux de la souveraineté numérique en matière de données publiques et le développement de solutions souveraines conformes aux besoins des personnes publiques - Audition de M. Thomas Balladur, président-directeur général d'Interstis, Maître Laurent Bidault, avocat, et Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust
- Audition de Mme Emmanuelle Ledoux, directrice générale de l'Institut national de l'économie circulaire
Mardi 20 mai 2025
Audition de Mme Nathalie Carrasco, présidente de l'École nationale supérieure (ENS) Paris-Saclay
Le compte rendu sera publié ultérieurement
- Présidence de M. Simon Uzenat, président -
La réunion est ouverte à 17 h 25.
Audition de M. Christian Brassac, vice-président de l'Eurométropole de Strasbourg, en charge de la commande publique responsable
M. Simon Uzenat, président. - Nous poursuivons nos travaux en revenant à l'un des fondamentaux de notre commission d'enquête : l'étude des pratiques des collectivités territoriales en matière de commande publique et les enseignements qu'il sera possible d'en retirer. Nous avons réalisé, du 2 au 30 avril 2025, une consultation sur la plateforme de consultation en ligne des élus locaux du Sénat qui a recueilli 1 182 réponses, signe d'intérêt pour cette problématique. Les élus étaient interrogés sur leur appréciation du cadre juridique de la commande publique et leurs habitudes en matière d'achat durable ou local. Les résultats, en cours d'analyse, seront présentés dans notre rapport.
Les participants étaient également invités à nous faire part de leurs bonnes pratiques. Un message de l'Eurométropole de Strasbourg, dont la dépense annuelle au titre de la commande publiques atteint 470 millions d'euros, a particulièrement retenu notre attention. Nous recevons donc l'auteur de ce message, M. Christian Brassac, vice-président de l'Eurométropole en charge de la commande publique responsable.
Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 € d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances.
Je vous invite à prêter serment de dire toute la vérité et rien que la vérité. Veuillez lever la main droite et dire « je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, M. Christian Brassac prête serment.
Vous pourrez nous présenter la politique d'achat de votre collectivité, particulièrement exemplaire en matière sociale et environnementale, avec notamment un schéma de promotion des achats publics socialement et écologiquement responsables (Spaser) construit par référence aux objectifs de développement durable (ODD) de l'ONU. La même démarche a été adoptée au conseil régional de Bretagne, dans le cadre de son Spaser adopté à la fin de l'année 2022. Rencontrez-vous des obstacles dans vos ambitions, alors que les obligations issues de la loi Climat et Résilience doivent entrer en vigueur en août 2026 ?
L'application des obligations issues de la loi Égalim a constitué un défi pour de nombreuses collectivités et suscité une prise de conscience sur la nécessité de promouvoir les circuits courts. Avez-vous atteint les seuils requis et selon quelles modalités ? L'État vous a-t-il suffisamment soutenu ?
De même, il est logique que les collectivités souhaitent soutenir, par leur commande publique, leur tissu économique local. Vous pourrez nous expliquer comment l'Eurométropole de Strasbourg y parvient tout en respectant, cela va de soi, les grands principes du droit de la commande publique.
Par ailleurs, quelle est votre organisation de la fonction achat au sein de votre collectivité ? Ce sujet s'avère crucial dans un contexte où la professionnalisation des acheteurs et la maîtrise d'un cadre juridique complexe sont au coeur de l'efficience des achats.
À ce titre, le pilotage par la donnée est essentiel et permet de répondre au mieux aux besoins de la collectivité, tout en offrant une transparence nécessaire vis-à-vis de nos concitoyens. Quelle est la politique de l'Eurométropole de Strasbourg en la matière ? Enfin, quel regard portez-vous sur les centrales d'achat, notamment l'Union des groupements d'achats publics (UGAP) ?
M. Christian Brassac. - Ce sujet me passionne, et j'ai répondu à votre consultation en espérant que cette passion transparaisse. Je tiens à donner en préambule une précision concernant les 470 millions d'euros d'achats, ce montant correspond au total dépensé par la ville de Strasbourg et l'Eurométropole. Je suis conseiller délégué auprès du premier adjoint, en charge de la commande publique, à la ville de Strasbourg, et également vice-président de l'Eurométropole en charge de la commande publique responsable. Les deux administrations sont parfaitement intégrées et je travaille pour les deux entités avec le service de la commande publique commun. Ces 470 millions d'euros concernent donc bien les deux collectivités.
M. Simon Uzenat, président. - Vous avez raison de le préciser, notamment au regard de la mutualisation des services.
M. Christian Brassac. - Notre Spaser est un outil extrêmement puissant, qui intègre effectivement des aspects sociaux et environnementaux, ainsi que le soutien au tissu économique local. Strasbourg avait déjà un Spaser depuis 2018 que nous avons renouvelé après mon élection en 2020. L'Eurométropole dispose également de son propre Spaser, qui est très similaire. Il a été adopté à l'unanimité dans les deux instances.
L'objectif principal de notre Spaser s'appuie sur une phrase que Mme Agnès Pannier-Runacher, alors ministre déléguée chargée de l'industrie, a prononcée en mars 2021, qui m'a beaucoup marqué : « L'objectif est d'équilibrer les critères des appels d'offres et de mieux noter une réponse plus chère, mais mieux-disante au niveau environnemental. » L'objectif du Spaser est ainsi de rééquilibrer la commande publique en faveur du mieux-disant au sens des externalités sociales et environnementales positives. En effet, si Mme Pannier-Runacher n'a parlé que du niveau environnemental, j'aurais préféré qu'elle fasse référence à l'aspect socio-environnemental. En tant qu'élu écologiste, je pense qu'il ne peut pas exister d'écologie sans justice sociale. Ces intrications sociales et environnementales sont fondamentales. Je ne veux pas être caricaturé en environnementaliste qui oublie le social.
C'est la raison pour laquelle notre Spaser est adossé aux ODD, qui permettent d'intégrer ces deux dimensions, ainsi que la dimension démocratique des ODD 16 et 17. Nous abandonnons progressivement le coût d'acquisition au profit du coût global, intégrant ces externalités sociales et environnementales positives, ainsi que des externalités économiques, puisque plus on soutient le tissu économique local - dans le respect de la réglementation - plus on génère des recettes fiscales non négligeables.
Nous passons environ 2 500 marchés par an, ville de Strasbourg et Eurométropole confondues, dont 600 environ passent en commission d'appel d'offres (CAO). Sur l'ensemble des marchés publics conclus depuis juin 2020, 75 % sont attribués à des entreprises du Bas-Rhin et 80 % à des entreprises situées en Alsace. L'impact sur notre tissu socio-économique local apparaît clairement, tout en respectant l'interdiction de préférence locale.
Nous y parvenons en introduisant des dispositions environnementales significatives. Nous avons mis en place des clauses d'insertion sociale et des critères environnementaux qui s'appuient notamment sur l'empreinte carbone.
Au niveau social, nous générons environ 470 000 heures d'insertion chaque année. Cette tradition remonte à la fin des années 1990, quand la maire de Strasbourg de l'époque, Mme Catherine Trautmann, a imposé l'emploi de personnes éloignées de l'emploi dans le cadre de la construction du tramway et du Parlement européen. Nous disposons d'un facilitateur qui conseille les acheteurs publics sur le nombre d'heures d'insertion à inclure en fonction du type de marché.
L'objectif de la loi Climat et Résilience est d'intégrer une clause environnementale dans 100 % des marchés publics en 2026. Nous atteignons déjà près de 80 %, grâce au Spaser.
Le Spaser est d'une importance capitale, mais encore trop peu de collectivités en sont dotées. Le seuil s'élève à ce jour à 50 millions d'euros, mais les 320 collectivités concernées n'en disposent pas toutes. Néanmoins, disposer d'un Spaser ne représente pas une fin en soi. Ce document ne doit pas dormir sur une étagère. Il est essentiel que les acheteurs se l'approprient.
Quand nous avons réécrit notre Spaser, j'ai rencontré les vingt directions l'une après l'autre, accompagné du service de la commande publique, pour leur présenter ce nouveau document. Ainsi, les acheteurs le connaissent et peuvent l'utiliser concrètement. Nous accompagnons avec notre expertise ceux qui s'inquiètent de ne pas pouvoir intégrer les aspects environnementaux et sociaux dans leurs marchés.
Dans les marchés de prestations intellectuelles, concernant le volet social, l'insertion professionnelle des jeunes adultes via l'alternance est une mesure importante. Nous avons attribué des marchés à des entreprises en raison de leurs engagements en matière d'alternance. De même, des entreprises du BTP perdent parfois un marché face à un concurrent qui a obtenu une meilleure note au critère environnemental alors que son offre était plus élevée. Cela crée une dynamique nouvelle au sein des entreprises.
Sur la loi Égalim, en matière de restauration scolaire, la ville de Strasbourg a passé un marché pour fournir 13 000 repas par jour. La Spaser nous a beaucoup aidé, nous permettant d'atteindre 50 % de produits biologiques avec deux tiers de produits locaux. Je travaille étroitement avec l'adjointe déléguée à l'agriculture urbaine sur ces questions, y compris en ce qui concerne le bien-être animal.
Un élément me tient particulièrement à coeur est la promotion de l'égalité femmes-hommes. Je souhaiterais une politique de commande publique sensible au genre, tout comme nous avons un budget qui l'est, mais nous nous heurtons à des obstacles juridiques. Les critères d'attribution des marchés doivent être liés à ceux-ci et nous n'avons pas nous référer à la politique générale de l'entreprise, comme l'index de l'égalité professionnelle dans les entreprises de plus de 50 salariés.
Nous travaillons avec des chercheurs en économie de la fonctionnalité et de la coopération sur un nouvel outil, le plan de progrès, qui n'est pas un critère d'attribution d'un marché mais permet de suivre son exécution. Dans ce cadre, nous pouvons introduire des aspects touchant aux caractéristiques des prestations en matière d'égalité femmes-hommes. En revanche, dans les délégations de service public et les concessions la notion d'égalité femmes-hommes est prise en compte dès le début de la procédure.
Par ailleurs, l'article L. 2153-1 du code de la commande publique nous permet d'appliquer une forme de souveraineté économique européenne. Par exemple, nous avons arrêté d'acheter en Inde des produits comme les tuyaux de fonte ductile pour privilégier les fournisseurs européens. S'agissant des panneaux solaires, j'espère que nous pourrons utiliser cette disposition pour acheter ceux qui seront produits dans l'usine Holosolis qui va s'installer à Sarreguemines.
M. Jean-Luc Ruelle. - Vos explications sont très intéressantes. Un guide régional des bonnes pratiques a été établi en région Grand-Est en 2020. Étiez-vous impliqué dans le partage de bonnes pratiques pour soutenir l'économie locale en contexte de Covid, avec un fort accent mis sur le développement durable ?
M. Christian Brassac. - J'ai été élu en 2020, en pleine crise sanitaire. Toutefois, ce que vous mentionnez relève de la région Grand-Est, qui dispose également d'un Spaser, mais pas de la ville de Strasbourg ou de l'Eurométropole. Je ne peux donc pas vous donner plus de précisions. Je ne connais pas dans le détail le guide de bonnes pratiques que vous mentionnez.
M. Jean-Luc Ruelle. - Je voulais savoir comment s'était passée l'application de ces bonnes pratiques et ce qu'il en était advenu à ce jour.
M. Christian Brassac. - J'étais auparavant professeur de mathématiques et je ne connaissais pas le domaine de la commande publique avant d'être élu. J'ai tout découvert grâce à un excellent service qui m'a beaucoup aidé, et je me suis formé. Cependant, je ne peux pas vous en dire plus sur le guide que vous mentionnez.
M. Simon Uzenat, président. - Je souhaiterais revenir sur deux sujets évoqués dans mon propos préliminaire et poser une question complémentaire. Premièrement, concernant l'organisation de la fonction achat, vous avez évoqué votre rencontre avec la vingtaine de directions après l'adoption du Spaser. La fonction achat au sein de l'Eurométropole et de la ville de Strasbourg est-elle complètement décentralisée ou centralisée partiellement ? Quelles ont été les évolutions depuis votre élection en 2020 ?
À l'échelle de la région Bretagne, avec un volume d'achat entre 300 et 400 millions d'euros par an, l'organisation est absolument décisive pour garantir l'effectivité de la prise en compte des prescriptions politiques. Cela implique aussi la montée en compétences et la formation des acteurs de l'achat public, tant du côté des acheteurs que des opérateurs économiques. Menez-vous en oeuvre des actions particulières depuis 2020 dans ces domaines ?
Ma deuxième question concerne le pilotage par la donnée. Disposez-vous de systèmes d'information permettant d'obtenir en temps réel vos performances d'achat ? Avez-vous fixé des cibles précises dans le cadre de votre Spaser avec un calendrier de mise en oeuvre ? Le pilotage par la donnée est clé pour mesurer l'efficacité des dispositifs face aux urgences climatique et sociale.
Ma dernière question porte sur la coopération entre collectivités, qui me semble être un élément décisif.
À l'échelle locale, nous avons discuté avec les représentants du bloc communal et l'on constate qu'avec la complexification et la montée en compétences nécessaire, l'échelon intercommunal semble le plus adapté pour conduire une politique d'achat. Dans le cadre de l'Eurométropole, avez-vous des conventions de mutualisation, des groupements de coopération ou un travail particulier avec les communes membres ? À une échelle supérieure, au niveau de la région Grand-Est, travaillez-vous sur le partage de bonnes pratiques ? En Bretagne, nous avons créé un comité politique achat réunissant les quatre départements et les deux métropoles, avec l'ambition d'associer les établissements publics de coopération intercommunale (EPCI), pour harmoniser les prescriptions. Les opérateurs économiques font cette demande de façon récurrente. Pour l'Eurométropole de Strasbourg, avez-vous mis en place ces instances de travail ou des outils communs pour simplifier la vie des acheteurs publics et des opérateurs économiques, notamment dans le cadre de vos compétences partagées avec la région en matière de développement économique ?
M. Christian Brassac. - Pour la fonction achat, dans le cadre d'une administration intégrée, il existe un service de la commande publique d'une trentaine de personnes. Dans les vingt directions, deux disposent d'une petite cellule de support en achat public : la direction de l'architecture et du patrimoine et la direction des espaces publics et naturels. Quand un achat est décidé, le « métier » et le juridique travaillent conjointement. Cette pratique est de plus en plus répandue. Ce travail conjoint aboutit à des propositions d'attribution en CAO. Il existe une bonne connivence entre le service de la commande publique et les acheteurs des dix-huit directions qui ne comptent qu'un seul acheteur.
M. Simon Uzenat, président. - Ce travail conjoint porte-t-il sur la définition des besoins et la prescription technique avec l'expertise propre aux directions, tandis que le véhicule juridique et la traduction politique dans les documents de consultation sont réalisés la Direction des affaires juridiques et de la commande publique ? Je ne sais pas si cette Direction porte chez vous le même nom qu'en région Bretagne.
M. Christian Brassac. - Le travail est réellement réalisé de manière conjointe. Par exemple, quand une direction souhaite introduire un critère environnemental mais ne sait pas comment procéder, elle travaille en étroite collaboration avec le service de la commande publique responsable. Cette collaboration fonctionne efficacement. Je participe au forum sur l'achat public durable présidé par Mme Martine Ouaknine, adjointe au maire de Nice et M. Hervé Fournier, conseiller municipal de Nantes. Je ne comprends pas toujours le fonctionnement des autres collectivités, mais je trouve notre système actuel est performant.
M. Simon Uzenat, président. - Dans le cadre de l'arrivée de nouveaux agents ayant des degrés de sensibilisation variables aux sujets d'achat responsable, particulièrement dans des collectivités importantes comme l'Eurométropole de Strasbourg, avez-vous mis en place un système de contrôle de la conformité des procédures lancées au Spaser ? Si des documents contractuels manquaient d'ambition dans la prise en compte des considérations écologiques et sociales, disposez-vous d'un comité des achats pour éviter les ratés, en particulier sur les marchés les plus importants ? Disposez-vous d'une gouvernance spécifique ?
M. Christian Brassac. - Non, j'utilise plutôt la pédagogie. Je fais confiance à mes équipes et nous progressons graduellement. Il s'agit d'un travail pédagogique et progressif. Imposer des contraintes me semblerait contre-productif. Je travaille conjointement avec l'acheteur et les services concernés. En matière de pondération, je respecte l'expertise de l'acheteur sans lui imposer de pourcentage minimum. Nous progressons ensemble et je n'ai pas rencontré d'acheteur réticent à cette approche. En ce qui concerne l'éclairage public, par exemple, nous avons fait des progrès significatifs en matière d'égalité femmes-hommes. Je privilégie la pédagogie et la confiance plutôt qu'un système de contrôle formel. Je rappelle que la loi Climat et Résilience nous imposera un critère environnemental dans 100 % des marchés publics. Ma méthode : pas de contrôle, mais de la pédagogie.
M. Simon Uzenat, président. - Je vous remercie pour votre réponse très claire.
M. Christian Brassac. - Quand je suis entré en poste en 2020, le précédent Spaser, que je trouvais de bonne qualité, datait de 2018 et nécessitait une mise à jour. Nous avons donc constitué quatre groupes de travail, chacun dédié à une partie du Spaser et organisé des réunions pour l'améliorer. Nous avons progressé sur un certain nombre de points.
Pour l'avenir, nous prévoyons d'intégrer des valeurs cibles, car actuellement aucune n'est définie. Nous disposons d'un comité de pilotage mais pas de valeurs cibles. De même, nous n'effectuons pas d'analyse automatique des données. Je réalise ce suivi manuellement dans le détail. Il est probable qu'une automatisation de cette analyse représentera un axe d'amélioration pour le prochain Spaser.
Par ailleurs, l'Eurométropole gère un groupement de commandes pour l'énergie qui réunit les communes membres, la Collectivité européenne d'Alsace (CEA) et les services départementaux d'incendie et de secours (SDIS). Avec la CEA, qui a récemment adopté un Spaser, la collaboration reste informelle. De même avec les acheteurs de la région Grand-Est, les relations ne sont pas totalement institutionnalisées. Chaque structure connaît les actions menées par les autres, mais sans réelle coordination.
M. Simon Uzenat, président. - Au sein de l'Eurométropole, au-delà du groupement de commandes avec les communes membres, existe-t-il un travail d'accompagnement pour les plus petites communes qui rencontrent des difficultés à piloter leur politique d'achat avec leurs ressources humaines limitées ? Existe-t-il des actions de soutien mises en place par l'Eurométropole ? Comment cela fonctionne-t-il ?
M. Christian Brassac. - Après mon élection, j'ai rencontré les trente-trois maires de l'Eurométropole pour me présenter, évoquer le Spaser précédent et mes projets de modification. Je leur ai indiqué que je me tenais à leur disposition. Ils ont tous accès au Spaser, mais leurs niveaux d'achat sont très différents. Quelques-uns de ces maires siègent à la CAO de l'Eurométropole. Tous les maires savent que nous pouvons les aider mais ils ne viennent pas à notre rencontre. Les maires des plus petites communes procèdent à des achats beaucoup plus modestes. Nous restons disponibles pour les accompagner si besoin.
M. Jean-Luc Ruelle. - Utilisez-vous des assistances à maîtrise d'ouvrage (AMO) pour faciliter les processus d'achat ?
M. Christian Brassac. - Oui, très régulièrement.
M. Jean-Luc Ruelle. - Comment les sélectionnez-vous ? Comment mesurez-vous leur performance ?
M. Christian Brassac. - Il s'agit pour moi d'un marché comme un autre. En CAO nous traitons de ces marchés de la même façon que les autres : examen du prix, de la valeur technique, des éventuels critères sociaux et environnementaux. Je ne vois pas de différence significative entre les marchés d'AMO et les autres marchés. Nous allons par exemple bientôt devoir construire un nouvel incinérateur car le nôtre a presque 70 ans. La délégation de service public s'achève en 2030 et nous sommes assistés par des AMO sur ce dossier car nous ne disposons pas en interne de la compétence nécessaire.
M. Jean-Luc Ruelle. - Concernant cet incinérateur, avez-vous des informations sur les AMO qui auraient pu réaliser ce même type d'activité pour d'autres communes ?
M. Christian Brassac. - Comme je le disais auparavant, nous échangeons très peu avec les autres entités. Des échanges existent, mais plutôt au niveau national. Je suis sollicité par des villes pour expliquer comment favoriser l'appropriation du Spaser par les acteurs concernés. Je ne suis généralement pas consulté au sujet de la sélection d'un AMO.
M. Simon Uzenat, président. -Merci d'avoir été pleinement partie prenante des démarches engagées par notre commission d'enquête. Merci pour votre volontarisme et votre engagement depuis 2020. Nous prévoyons de rendre nos conclusions et préconisations fin juin ou début juillet. Si dans les deux ou trois semaines suivant cette audition vous souhaitez apporter des compléments, des précisions ou des exemples de bonnes pratiques qu'il faudrait selon vous généraliser, nous restons à votre disposition.
M. Christian Brassac. - Je propose comme bonne pratique de s'emparer du plan de progrès. Je vous invite également à vous référer au rapport écrit en 2021 par Mmes Sophie Beaudoin-Hubière, députée, et Nadège Havet, Sénatrice, sur le développement de la commande publique sociale et environnementale.
M. Simon Uzenat, président. - Nous avons bien noté la proposition. Vous l'avez compris, l'objectif de notre démarche, lancée à la demande de notre collègue M. Dany Wattebled, trouvera un premier aboutissement avec notre rapport, mais les travaux ne s'arrêteront pas là. Nous poursuivrons notre mobilisation commune à l'échelle du Sénat et en soutien des collectivités, des pouvoirs publics et des opérateurs économiques.
Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 18 h 05.
Mercredi 21 mai 2025
- Présidence de M. Simon Uzenat, président -
La réunion est ouverte à 16 h 35.
Les enjeux de la souveraineté numérique en matière de données publiques et le développement de solutions souveraines conformes aux besoins des personnes publiques - Audition de M. Thomas Balladur, président-directeur général d'Interstis, Maître Laurent Bidault, avocat, et Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust
M. Simon Uzenat, président. - Nous reprenons aujourd'hui les travaux de notre commission d'enquête, en l'absence de notre rapporteur, que je vous prie d'excuser, en nous penchant à nouveau sur la souveraineté numérique, la domination exercée par certaines entreprises étrangères soumises à des législations extraterritoriales et les alternatives françaises et européennes qui existent.
Au fil de nos auditions, nous avons entendu des discours résignés de la part d'opérateurs de l'État, notamment dans l'enseignement supérieur, qui semblent considérer qu'il est vain de chercher à se sevrer de la dépendance aux solutions proposées par quelques opérateurs internationaux. On peut noter aussi la volonté de beaucoup d'entre eux de vouloir participer à l'émergence de solutions alternatives.
Pourtant, dans le même temps, il y a une prise de conscience croissante des risques que cette dépendance fait peser : sur le plan commercial tout d'abord, puisque ces entreprises peuvent imposer leurs tarifs à leurs clients publics, qui ne bénéficient d'aucune marge de négociation, mais aussi sur le plan industriel, puisque les solutions concurrentes françaises ou européennes ne parviennent pas à émerger.
La question de la sécurisation des données hébergées sur les solutions de cloud des principaux opérateurs américains se pose également, puisque ces entreprises sont soumises aux lois extraterritoriales américaines - Patriot Act, Fisa et Cloud Act - qui permettent, sous certaines conditions, à l'administration américaine d'accéder à ces données sans en informer leur propriétaire.
Nous avons le plaisir d'accueillir trois acteurs qui travaillent au quotidien à corriger cette situation : Maître Laurent Bidault, avocat spécialisé en matière de protection des données personnelles et de son articulation avec le droit de la commande publique, M. Thomas Balladur, président-directeur général d'Interstis, entreprise qui développe des outils de bureautique souverains et Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust, structure dédiée à l'innovation d'une importante entreprise de services numériques française.
Je vous informe que cette audition sera diffusée en direct sur le site internet du Sénat et fera l'objet d'un compte rendu. Je rappelle également qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Veuillez lever la main droite et dire « Je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, M. Thomas Balladur, M Laurent Bidault et Mme Emmanuelle Ertel prêtent serment.
Votre témoignage sera très utile pour caractériser la dépendance dans laquelle nous nous trouvons aujourd'hui, confronter les idées reçues et mieux évaluer le risque qui pèse sur les données des personnes publiques à l'heure actuelle. Certaines des personnes que nous avons entendues ont estimé que ce risque était très limité dès lors que des mesures comme le cryptage des données ou leur anonymisation étaient adoptées. Confirmez-vous cette analyse ?
Nous sommes convaincus que la commande publique doit être un outil de promotion des acteurs innovants français et européens, non pas dans une logique protectionniste mais, au contraire, dans une approche d'amorçage afin de leur permettre d'atteindre une taille critique et de démontrer la fiabilité de leurs produits. Partagez-vous notre point de vue ? Estimez-vous que les acheteurs publics ont suffisamment été sensibilisés au sujet du rôle qu'ils ont à jouer en la matière ?
L'accoutumance aux logiciels et services des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) est souvent justifiée par l'absence d'alternatives développées et exploitées dans un cadre souverain offrant des fonctionnalités ou performances équivalentes. Comment cette idée est-elle venue s'enraciner alors que de nombreux outils existent ? Y a-t-il des domaines où ce n'est pas le cas ? Quel regard portez-vous sur les initiatives encore frileuses prises par l'État pour y remédier ?
Enfin, le cadre juridique de la commande publique va être amené à évoluer prochainement, avec la révision des directives qui a été engagée par la Commission européenne. Comment jugez-vous la réglementation actuelle et ses outils destinés à soutenir l'innovation ? Quelles modifications préconisez-vous ?
Me Laurent Bidault, avocat spécialisé en matière de protection des données personnelles. - Je suis heureux d'intervenir dans cette commission puisque en tant que praticien quotidien de la commande publique et de ses interactions avec l'innovation, je suivais avec attention vos travaux. Les problématiques soulevées, notamment l'accès des entreprises innovantes à la commande publique, font partie de notre quotidien.
Je pratique le droit de la commande publique depuis une quinzaine d'années. Lorsque nous avons créé notre cabinet il y a environ six ans, juste après la publication du décret « Villani », qui a créé le dispositif du marché innovant, désormais consacré dans le code de la commande publique, nous nous sommes adressés aux start-ups innovantes en leur indiquant l'existence de cette mesure. Nous constations qu'un nombre important d'entreprises innovantes disposaient de solutions pouvant servir l'intérêt général mais n'arrivaient pas à les concrétiser par la commande publique, sauf en intégrant des groupements ou en devenant sous-traitantes de grands groupes.
Notre première démarche a été de contacter les incubateurs de start-ups. Paradoxalement, bien que financés majoritairement par des acteurs publics, ils ignoraient tous des dispositifs liés à la commande publique innovante. Cette situation nous a interpellés : on créait un dispositif pour les entreprises innovantes dont les structures d'accompagnement n'avaient pas connaissance. Les choses ont évolué depuis, notamment grâce aux travaux de la direction des affaires juridiques (DAJ) du ministère de l'économie et des finances.
Du côté des acheteurs publics, soit ils méconnaissaient ce dispositif, soit ils craignaient de l'utiliser car l'innovation restait un concept aux contours flous. Certaines collectivités territoriales, comme Bordeaux Métropole, ont intégré l'innovation dans leur politique d'achat, mais cela ne va pas de soi pour la plupart des acteurs publics.
Ce phénomène rejoint la question de la dépendance aux GAFAM. Les acheteurs publics cherchent avant tout à assurer la continuité du service public et le bon usage des deniers publics. Face à des solutions bien établies et parfaitement intégrées, comme la suite Office ou l'écosystème Apple, le changement représente un coût organisationnel et financier. L'acheteur public, qui privilégie la sécurité, va conserver des cahiers des charges normés, avec des commandes répétitives, conduisant à l'attribution des marchés aux mêmes fournisseurs. Il n'y a pas de place pour l'innovation. Ce constat s'applique au numérique mais aussi à d'autres secteurs, puisque l'innovation peut tout aussi bien s'appliquer à des matériaux de chantier.
Les choses ont changé. Il existe des guides, le programme France 2030 pour que ces deux mondes qui s'ignorent se rejoignent et pour sortir d'une logique où l'accompagnement des start-ups est avant tout financier.
Pour favoriser l'accès des entreprises innovantes à la commande publique, l'enjeu majeur est la formation. Des acheteurs n'utilisent pas certaines solutions ou montages contractuels, ne sont pas sensibilisés aux enjeux de la cybersécurité, principalement par méconnaissance, pas par réticence. Les collectivités sont très sensibles aux retours d'expérience positifs d'autres collectivités, surtout quand cela soutient un acteur local et améliore le service aux usagers.
L'administration est traditionnellement rétive au risque, alors que l'innovation est risquée par nature. Les outils juridiques pour favoriser les entreprises innovantes existent déjà mais sont sous-utilisés. Pour certains, la limitation du marché innovant à 100 000 € est un frein, car le renouvellement du contrat peut entrainer le franchissement des seuils de procédure formalisée. Il leur faudrait un contrat de plus long terme, qui couvre à la fois la phase de recherche et développement et l'acquisition de la solution. Ce mécanisme existe en droit de la commande publique. Par ailleurs, sans discriminer directement un acteur, un acheteur public peut parfaitement prévoir des critères justifiés et proportionnés, correspondant à son besoin et qui vont de facto exclure certaines entreprises, comme exiger la qualification SecNumCloud pour des solutions de cloud souverain.
Pour chaque étape du développement d'une innovation, il existe un contrat adapté dans le droit de la commande publique. Les marchés de recherche et développement sont parfois même exemptés d'obligations de publicité et de mise en concurrence. Les marchés innovants permettent d'acquérir directement des solutions innovantes. Le partenariat d'innovation est particulièrement sous-utilisé alors qu'il présente de nombreux avantages. C'est le seul contrat permettant d'acheter ce qui n'existe pas encore, associant dans un même cadre une phase de recherche et développement collaborative puis l'acquisition de la solution. Il est possible de sélectionner plusieurs partenaires pour créer une émulation entre eux. Ce dispositif peut même prévoir un intéressement de la personne publique au chiffre d'affaires généré, pour le partenaire privé, par la commercialisation ultérieure de la solution développée dans ce cadre.
Ce type de contrat est sous-utilisé car les acheteurs l'imaginent réservé aux grands projets et craignent de manquer d'expertise face au partenaire privé. Ce n'est pourtant pas plus compliqué qu'un dialogue compétitif ou un marché d'acquisition d'un logiciel. Comme pour des opérations de construction complexes, l'acheteur peut s'entourer d'experts. Ce raisonnement, admis dans les marchés de construction, pourrait parfaitement s'appliquer aux marchés numériques. Une piste à suivre serait donc de mieux faire connaitre le partenariat d'innovation.
Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust. - Notre nom à consonance anglophone a été choisi pour paraître américain et moins français, ce qui est souvent nécessaire pour séduire des clients sur certains marchés.
Tessi est un acteur français et européen qui emploie 15 000 collaborateurs et réalise un demi-milliard d'euros de chiffre d'affaires. C'est une entreprise grenobloise peu connue mais très présente dans votre quotidien. Pendant la crise sanitaire, nous avons généré les 620 millions de QR codes pour les passes sanitaires. Cette mission relevait de la commande publique mais dans un contexte de crise. Il a fallu agir, nous avons travaillé ensemble - aucun acteur américain n'a pu s'imposer.
Tessi est spécialisée dans l'externalisation des processus métier. Quand vous pensez parler à votre banque, vous parlez souvent à des opérateurs de Tessi. Quand vous perdez vos bagages chez Air France ou Transavia, vous êtes en contact avec Tessi sans le savoir.
Le métier d'Innovation & Trust est l'édition de logiciels. Nous développons des logiciels en cloud privé, hébergé dans nos propres data centers. Crypter les données ne suffit pas à les protéger - techniquement, les rocades appartiennent au data center, pas au propriétaire des données. Dès lors que les données empruntent ces rocades, elles sont vulnérables. Mon métier consiste à diriger 750 développeurs et techniciens dans trois pays, tous dans des domaines normés. Je fais de l'archivage à valeur probatoire avec la norme NF461, je suis certifiée par l'agence nationale de la sécurité des systèmes d'information (ANSSI), conforme au règlement eIDAS et au référentiel général de sécurité (RGS). Chaque nouveau produit est certifié. En revanche, Tessi a fait le choix d'arrêter le SecNumCloud (SNC) car c'était trop cher et nous n'avions pas suffisamment de demandes. Économiquement, il n'y avait pas de marché. Comme pour le référentiel des prestataires de vérification d'identité à distance (PVID), ces normes coûtent très cher à obtenir, et nos clients s'en désintéressent complètement. Mon objectif est de générer du chiffre d'affaires, d'embaucher et de croître.
M. Simon Uzenat, président. - Quels sont les trois pays dans lesquels vous êtes implantés ?
Mme Emmanuelle Ertel. - Nous sommes présents en France, en Espagne et au Maroc. Pour assurer la sécurité des flux hors de France, nous avons mis en place des règles d'entreprise contraignantes (BCR), validées par la Commission nationale de l'informatique et des libertés (CNIL). Nous respectons ces normes alors que nos concurrents ne les ont pas toutes et n'en supportent pas les coûts. La commande publique concerne aujourd'hui non seulement les GAFAM mais aussi l'intelligence artificielle (IA). Les GAFAM sont partiellement encadrés par les normes européennes, contrairement à l'IA. C'est un vrai sujet dans tous les marchés.
Le mot « protégé » est perçu comme tabou car associé au protectionnisme, mais tous nos concurrents américains grandissent grâce à la commande publique américaine qui finance leur recherche et développement. Nous, nous la finançons seuls. Notre activité d'archivage à valeur probatoire, 80% de mes clients viennent des marchés publics, mais nous ne pouvons pas grandir faute de moyens.
Il y a un vrai problème de souveraineté quand on confie nos données à des puissances étrangères. Elles ne nous appartiennent plus. Il manque une culture et une acculturation sur ces sujets. Peu importe que les données soient hébergées en France ou en Europe. Un hébergeur comme Microsoft Azure n'est pas français, ce qui pose des difficultés. Pour la suite Office, le support en continu n'est pas assuré en France mais par des équipes à l'étranger, qui ont accès aux données. C'est extrêmement dangereux.
Comment la commande publique peut-elle financer la phase de recherche et développement ? C'est fondamental. L'État français annonce 20 milliards d'euros de financement pour l'innovation, mais ces fonds viennent d'Arabie saoudite. Ce système n'est pas vertueux Un acteur français comme Tessi, basé à Grenoble, avec des clients exigeants, ne bénéficie d'aucun soutien par la commande publique.
De plus, les normes diffèrent entre pays européens : nos normes franco-françaises comme le SecNumCloud ne sont pas les mêmes qu'en Allemagne ou en Espagne. Cette absence d'uniformité est un obstacle à la croissance des entreprises. Face à des acteurs étrangers ou européens avec des normes plus faibles, nos coûts sont supérieurs. Notre implantation au Maroc et en Espagne s'explique par des coûts inférieurs à la France. La question est de savoir comment la commande publique peut nous financer et nous faire travailler.
M. Thomas Balladur, président-directeur général d'Interstis. - Je suis honoré de représenter Interstis que j'ai cofondée il y a plus de dix ans et que je dirige. Interstis est un éditeur de solutions collaboratives en ligne, dans le cloud, avec une conviction simple : le numérique professionnel doit être à la fois simple, sécurisé et souverain. C'est une entreprise française implantée au Creusot, en Saône-et-Loire, avec des antennes à Nantes, Montpellier et Paris. Nous employons 70 personnes et accompagnons environ 1 400 clients, principalement dans le secteur public, avec plus de 700 000 utilisateurs.
Notre coeur de métier est la collaboration : tout ce qui concerne les documents, la messagerie, les tâches, les projets et le stockage cloud. Ce qui m'anime aujourd'hui, c'est le projet Hexagone, une suite collaborative et bureautique complète, souveraine, hébergée en SecNumCloud, conçue comme alternative crédible à Microsoft Office 365.
Elle est développée par un consortium de six éditeurs français : Interstis comme chef de file, mais aussi Bluemine, XWiki, Parsec, Linphone et Tranquilité. Nous nous appuyons sur Outscale, un cloud provider français. Ce sont des PME réparties sur le territoire, qui créent des emplois, paient leurs impôts en France et collaborent depuis deux ans dans une logique industrielle.
Nous avons réalisé ce que beaucoup croyaient impossible : une suite collaborative française couvrant l'ensemble du périmètre d'Office 365, disponible et commercialisée depuis janvier, déjà déployée dans des collectivités. Hexagone n'est pas un prototype ou un projet, c'est une réalité, portée par une dynamique entrepreneuriale forte et un socle technologique robuste, s'appuyant sur des entreprises existant depuis plus de dix ans. C'est en tant que chef de file de ce consortium et acteur de terrain que je m'adresse à vous aujourd'hui.
Le sujet qui nous réunit est celui de la souveraineté numérique et la place de la commande publique dans cette bataille. La France est dépendante des GAFAM pour ses outils numériques structurants, non par fatalité technologique mais par choix politiques, habitudes ancrées et confort intellectuel.
Trois freins majeurs empêchent la commande publique de jouer son rôle de levier. D'abord, l'habitude : acheter Microsoft est devenu le choix par défaut, sans évaluation des alternatives. Les acheteurs, responsables informatiques, entreprises de services du numérique (ESN) nationales comme Capgemini ou Sopra Steria, et prestataires locaux ne veulent pas prendre de risques. Ils n'ont ni le mandat, ni l'envie de faire autrement.
Deuxièmement, le discours d'absence d'alternative. On prétend que les solutions françaises n'existent pas ou sont insuffisantes, ce qui est faux. Hexagone en est la démonstration. Cette ambiguïté est visible quand certains établissements justifient le choix de Microsoft par la sécurité tout en affirmant que leurs données ne sont pas sensibles. C'est un paradoxe : pourquoi avoir recours à une solution soumise au droit extraterritorial américain, avec un niveau de sécurité très élevé, si les données en question ne sont pas sensibles ? Ce raisonnement masque un refus de donner à la souveraineté numérique sa juste place dans la matrice des choix des systèmes d'information.
Troisièmement, le manque de visibilité. Microsoft dispose de centaines de lobbyistes à tous les niveaux en Europe et en France. Les PME française ne jouent pas dans la même cour. Des dispositifs comme France 2030 nous aident, et je salue le rôle de l'État, notamment la Direction générale des entreprises (DGE) et BPI France qui ont soutenu le consortium Hexagone. Mais le lien entre innovation et commande publique est cassé : on finance la R&D sans garantir l'accès au marché. On subventionne alors des solutions qui restent dans les cartons. Parfois, ces cartons traversent l'Atlantique...
Je reste optimiste car l'écosystème existe. Nous avons des briques, des compétences et la volonté. Il nous manque une dynamique industrielle soutenue dans la durée, mais le vent commence à tourner avec l'administration Trump II et les récentes crises géopolitiques, avec une prise de conscience des enjeux de souveraineté.
Si la commande publique joue son rôle, nous pouvons gagner cette bataille technologique pour les cinquante prochaines années. L'histoire le montre : en 1945, nous n'avions pas la bombe atomique, mais quinze ans plus tard, grâce à une décision politique forte et la création du Commissariat à l'énergie atomique (CEA), nous l'avions. Quelle serait la place de la France aujourd'hui sans la dissuasion nucléaire ? Aujourd'hui, nous avons cinq à dix ans de retard sur les GAFAM, mais nous pouvons combler cet écart avec une commande publique mobilisée et une volonté politique claire.
Je vous soumets quelques propositions concrètes. Tout d'abord, affirmer publiquement que l'achat de solutions numériques françaises et européennes est une priorité nationale, en mobilisant par exemple le Conseil national des achats. Ensuite, mettre en place des incitations financières pour les collectivités territoriales. Pourquoi ne pas rendre éligible au Fonds de compensation pour la taxe sur la valeur ajoutée (FCTVA) l'achat de solutions Software as a service (SaaS) souveraines ? Il faudrait aussi mettre à la disposition des acheteurs publics des clausiers leur permettant d'exiger, dans leurs marchés, l'immunité aux législations extraterritoriales, la qualification SecNumCloud, le développement d'emplois locaux ou d'autres mesures de souveraineté. Il pourrait aussi être envisagé, au niveau européen, de mettre en place des appels d'offres à deux tours, le premier étant réservé aux solutions souveraines européennes. Il me semble que c'est la méthode retenue par les américains.
L'Union des groupements d'achats publics (Ugap) a des avantages, mais propose tellement de références que les solutions souveraines sont noyées dans la masse. Elle pourrait structurer un marché spécifique, qui leur serait réservé, ce qui leur donnerait une plus grande visibilité.
Par ailleurs, la réticence au changement est une réalité, et elle est compréhensible. Il faut comprendre que la migration d'une solution à une autre est anxiogène et se prépare. Elle doit être anticipée, dans le cadre d'une procédure sur deux ou trois ans, afin de préparer le changement, rassurer sur la technologie et donner de la visibilité aux industriels sur la commande.
Il faut qui plus est, dès le plus jeune âge, éduquer les jeunes à d'autres outils que ceux des GAFAM. Ils ont réussi à créer une forme de dépendance culturelle, que seule une politique publique forte parviendra à briser.
Enfin, une note de la Direction générale des collectivités locales (DGCL) du 5 avril 2016 indique que les données produites par une collectivité ont un statut d'archive publique et, à ce titre, de trésor national, qui ne peut pas quitter le territoire. Héberger des données sur Microsoft Azure ou Google, même dans des data centers en France, ne garantit pas qu'elles ne quittent pas le territoire à cause des lois d'extraterritorialité. Il faut envoyer un signal fort aux collectivités pour les inciter à choisir un hébergement souverain de leurs données publiques.
Le numérique est un choix politique, pas une fatalité technologique. C'est une question de souveraineté, de liberté, d'emplois et d'indépendance. Nous avons les moyens de créer un numérique français sûr, performant et compétitif. Il ne nous manque ni le talent, ni la technologie, ni l'envie mais le passage à l'acte, le passage à la commande.
Mme Catherine Morin-Desailly. - Je remercie chacun d'entre vous d'avoir expliqué clairement que la commande publique aujourd'hui n'était pas conçue pour accompagner l'innovation et s'inscrire dans une logique politique et stratégique sur des enjeux définis par la nation. La question est aussi de savoir comment la commande publique peut servir des objectifs politiques forts qui assurent la sécurité de la nation.
Vous avez tous évoqué les enjeux autour de la formation et de l'absence d'acculturation. Que pensez-vous de l'idée proposée dès 2016 par la CNIL de faire une grande cause nationale autour de l'éducation et de la formation sur ce sujet ? Avec mon collègue Olivier Cadic qui préside la commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui assure la transposition de la directive NIS 2, nous avons émis l'idée qu'il faudrait inscrire cela dans un temps phare pour lequel chacun se mobilise, à tous les niveaux.
Avec Michel Canévet, nous avions mesuré qu'il allait y avoir beaucoup d'opportunités de commande publique avec l'application de NIS 2, puisque les entités, entreprises et collectivités de plus de 30 000 habitants vont être soumises à des obligations en matière de cybersécurité et devront trouver des solutions et des prestataires. C'est un moment opportun pour nos entreprises de trouver des commandes et de se développer. Quelle est votre réflexion sur ce sujet ? Avez-vous identifié cette étape importante qui se mettra en place dès la loi transposant cette directive sera définitivement adoptée ?
M. Michel Canévet. -Je n'avais pas connaissance, bien qu'ayant présidé une collectivité qui utilisait Interstis, de sa capacité à proposer une alternative à Microsoft. Je pense qu'il faut vulgariser cette information. Comment voyez-vous les choses à cet égard ?
Quelles sont vos relations avec l'UGAP ? C'est un intermédiaire intéressant pour lever les contraintes administratives liées aux marchés publics. Sentez-vous une attention suffisante de leur part envers les propositions des entreprises françaises ?
Nous avons examiné le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Notre préoccupation est d'éviter que les acheteurs soient contraints de se tourner vers des solutions étrangères en raison des délais de mise en oeuvre trop courts. Nous souhaitons donner aux acteurs français le temps de se préparer.
Si j'ai bien compris, le code de la commande publique contient aujourd'hui presque tout ce qu'il faut pour répondre à toutes les situations. Est-ce exact ou existe-t-il d'autres possibilités d'amélioration que celles évoquées ?
M. Daniel Salmon. -Vous affirmez que nous n'avons pas à rougir de notre niveau en France et que nous disposons de solutions équivalentes à celles Microsoft, mais vous mentionnez aussi un retard de cinq à dix ans. Pourriez-vous clarifier ce retard et nous dire comment nous pouvons le rattraper ?
Ma deuxième question concerne notre déficit dans le numérique. Nous avons intériorisé une infériorité en France. C'est comparable à ce que nous avons connu pendant longtemps pour les films avec Hollywood. Aujourd'hui c'est Microsoft, et nous avons beaucoup de mal à sortir de cette vision. Vous avez mentionné avoir choisi un nom à consonance anglo-saxonne pour être pris au sérieux. Comment sortir de cette perception que les Français ou les Européens ne sont pas à la hauteur dans ce domaine ?
Mme Emmanuelle Ertel. - Je crois énormément en la valeur humaine. Former ou acculturer à la souveraineté numérique et en faire une cause publique serait extraordinaire, mais ce serait déclarer une guerre puisque les acteurs internationaux ont beaucoup plus de moyens que nous pour faire du lobbying et être présents partout. Récemment, j'ai participé à une table ronde avec des représentants d'Amazon - c'est impressionnant. Quand nous réussissons à intervenir dans une commission occasionnellement, eux sont présents pratiquement tous les jours, partout.
Pour l'acculturation, il faut expliquer qu'il n'est pas suffisant que les données soient hébergées en Europe. Le problème est que les données sont peut-être hébergées en Europe, mais les personnes qui accèdent au système n'y sont pas forcément. On pose toujours la question de l'hébergement, mais jamais celle de l'accès.
Dans le domaine de la signature électronique, notre concurrent n'est pas Microsoft mais DocuSign, présent dans la commande publique comme dans le privé. Les data centers ne sont pas comme ceux de Microsoft, Amazon ou Google, qui offrent certaines garanties de sécurité. Le problème touche tous les outils : signature électronique, vérification d'identité, archivage à valeur probatoire, etc.
Avant même de former, il faut acculturer, expliquer et apprendre à poser les bonnes questions. Par exemple, nous utilisons Teams sur lequel tout le monde partage des fichiers - c'est pratique mais ces fichiers sont sur Teams. J'adorerais que l'État français soit ferme sur ces questions mais nous n'y croyons pas vraiment car les acteurs internationaux sont beaucoup plus forts et mieux implantés que nous. C'est en posant les bonnes questions qu'on pourra se protéger.
Nous n'avons absolument pas à rougir de nos solutions, qui sont extraordinaires. Je croise des compétiteurs qui proposent des solutions innovantes et fortes. Il faut aussi parler de nos jeunes et de notre capacité à former d'excellents développeurs reconnus internationalement. C'est d'ailleurs pour cela que les entreprises étrangères investissent en France. Un défi est de ne pas les laisser partir. Beaucoup de nos étudiants partent étudier à l'étranger face aux difficultés du système de formation français.
Au quotidien, nous peinons à recruter et à attirer les talents. C'est pourquoi il faut non seulement former à la commande publique, mais aussi réussir à garder nos talents qui sont excellents. Ce capital humain est essentiel, nous pouvons en être fiers. Quand on dit que nous avons dix ans de retard, c'est uniquement dû au manque de moyens d'investissement. Dans mon périmètre, je consacre 14 millions d'euros à la recherche et au développement sur un chiffre d'affaires d'un demi-milliard. C'est insuffisant, mais les investisseurs exigent plus de bénéfices et nous autofinançons notre recherche et développement. Malgré tout, ce que nous développons est extraordinaire. Le problème n'est pas le coût du travail, mais celui du respect des normes et du développement de logiciels innovants. Concernant l'IA, tous les acteurs sont internationaux. Même Mistral, qui était considéré comme le fleuron français et même européen : avec ses capitaux désormais très internationaux, je ne suis pas certaine qu'on puisse encore la qualifier de société française.
Mme Catherine Morin-Desailly. - Nous sommes conscients de la situation de Mistral. Nous avons interrogé le Gouvernement sur ce sujet.
Mme Emmanuelle Ertel. - Nous avons beaucoup de marchés avec l'UGAP mais nous ne travaillons pas en direct avec elle. Nous sommes en relation avec des intermédiaires - SCC et SMLB - qui prennent des marges importantes. Les collectivités paient beaucoup plus cher que si elles achetaient en direct. L'avantage de l'UGAP est d'éviter la procédure de passation d'un marché public, mais il y a un impact financier à ce choix.
M. Thomas Balladur. - Faire de la souveraineté numérique une cause nationale serait extraordinaire. Organiser une mobilisation sur la manière dont les jeunes doivent se saisir du numérique avec une dimension souveraine est une idée à développer. Il y a le temps court de la commande et le temps long de la culture. Nous sommes dans un contexte d'infériorité culturelle face aux Américains qu'il faut changer, même si c'est un combat difficile car intégré dans nos usages quotidiens. Je soutiens donc pleinement une mobilisation au plus haut niveau.
Concernant NIS 2, je partage vos inquiétudes. La mise en oeuvre de cette réglementation est un bon moyen pour sensibiliser les collectivités, mais tant qu'elle n'est pas effective, elle n'est pas vraiment prise au sérieux. Son application a été retardée et les seuils n'étaient pas connus jusqu'à récemment. Par ailleurs, derrière la cybersécurité, on tend à oublier la souveraineté en se concentrant sur des mesures techniques où les Américains excellent.
Sur la vulgarisation, c'est un vrai défi de porter ce discours dans les plus hautes sphères, de faire connaître les solutions existantes via la presse. Nous participons à des événements locaux pour que le message infuse dans les territoires. C'est notre mission de convertir les différents acteurs.
Pour l'UGAP, la façon dont sont traitées les entreprises dépend de leur travail. Les petits acteurs ne sont pas en contact direct avec elle mais travaillent avec le titulaire de son marché, SCC, ou plutôt son sous-traitant, SMLB. Les acteurs moyens travaillent avec SCC et accéder aux décideurs de l'UGAP reste difficile. C'est pourquoi je propose de créer un marché spécifique pour les solutions souveraines, plus visible pour les acheteurs publics que l'actuel marché multi-éditeurs qui est un fourre-tout.
Nous avons effectivement des années de retard en termes de moyens pour développer et diffuser massivement nos solutions. Nous disposons de financements pour la R&D mais pas pour le marketing, et nous n'avons pas l'écosystème financier américain pour nous soutenir. La commande publique est essentielle car elle finance des projets qui permettent de rattraper ce retard.
Au niveau des produits, nous offrons une équivalence fonctionnelle sur les fonctionnalités essentielles : messagerie performante, gestion et partage de documents, attribution de tâches, visioconférence... Certaines fonctionnalités utilisées par une minorité peuvent manquer, mais deviennent alors des outils métier spécifiques qui peuvent justifier quelques licences Microsoft, tandis que le reste fonctionne sur une base souveraine.
Notre argument commercial principal est que nous sommes moins chers. Cela n'était pas gagné d'avance vu les coûts de structure en France, mais cela montre surtout que les sociétés américaines sont très onéreuses. En investissant maintenant dans des solutions souveraines, vous aurez un retour sur investissement avec des prix négociables, contrairement à Microsoft qui a augmenté ses prix de 30 % deux fois ces dernières années de manière unilatérale.
Me Laurent Bidault. - Concernant les outils du code de la commande publique, j'ai le sentiment qu'ils existent mais que leur utilisation est un sujet d'acculturation et de formation. Le marché innovant, d'abord expérimental pour trois ans, a été pérennisé dans le code mais son déploiement a été freiné par la crise sanitaire. Selon l'Observatoire économique de la commande publique, le manque de formation des acheteurs sur l'innovation est l'une des principales raisons de sa sous-utilisation.
La question de la souveraineté au niveau européen doit d'abord être traitée dans le cadre de la révision des directives européennes, puisque notre code n'en est que la transposition. Une préférence européenne ne pourra être envisagée qu'au niveau européen avant d'être traduite dans notre droit national. Contrairement aux États-Unis qui pratiquent ouvertement la préférence nationale, la France se retranche derrière les accords de l'Organisation mondiale du commerce (OMC). Une récente réponse ministérielle à une question parlementaire rappelait que le principe de non-discrimination au niveau européen et les accords de l'OMC nous empêchent de favoriser un opérateur européen.
Lors de la préparation de cette audition, j'ai identifié qu'en 2020 une proposition de loi du Sénat prévoyait la mise en place d'une certification de cybersécurité des plateformes numériques destinées au grand public. L'article 2 visait à intégrer au code de la commande publique des impératifs de cybersécurité, au même titre que les exigences de développement durable. Le Gouvernement avait supprimé cet article par amendement pour deux motifs : l'application de cette exigence en matière de cybersécurité à tous les marchés, indépendamment de leur objet, et l'alourdissement des tâches des acheteurs publics, sans moyens supplémentaires.
Une piste serait de réintroduire cet impératif dans le code de la commande publique lors de la transposition de la directive NIS 2, puisque cette charge va de toute façon s'imposer aux acheteurs publics. Le code contient déjà des dispositions spécifiques pour certains marchés, comme l'obligation de réemploi pour les pneus ou pour les constructions temporaires. Nous pourrions imaginer des dispositions spécifiques pour les marchés informatiques, demandant aux acheteurs de prendre en compte les impératifs de cybersécurité. Je ne pense pas que la charge supplémentaire soit si conséquente puisqu'elle sera de toute façon imposée par NIS 2.
M. Simon Uzenat, président. - Nous sommes nombreux au sein de cette commission à considérer, comme vous le rappeliez M. Balladur dans un article récent publié dans la presse quotidienne régionale, qu'au-delà des données qualifiées de sensibles, toutes les autres peuvent l'être tout autant. L'espionnage économique peut cibler des données dites administratives, qui peuvent être absolument décisives pour des puissances étrangères, comme nous l'avons constaté en échangeant avec des établissements d'enseignement supérieur. Une approche globale et systématique de protection des données publiques est donc nécessaire.
Concernant l'acculturation, vous émettiez des réserves sur le cadre fixé par l'État, mais nous considérons que l'État a un devoir d'exemplarité. Sans prétendre tout régler immédiatement, il doit être à la hauteur des enjeux de cybersécurité et de souveraineté dans ses propres pratiques.
Vous semblez regretter dans votre article l'approche « B2C », mais le sujet de la bureautique est important pour nous, d'où notre volonté d'entendre M. Balladur. Nous voyons bien que c'est souvent la porte d'entrée utilisée par les GAFAM avant d'aller sur le terrain de l'hébergement des données. On observe des établissements publics qui utilisaient Microsoft sans hébergement de données, puis font légèrement évoluer l'offre pour inclure de l'hébergement. Microsoft utilise ce canal pour élargir son offre, généralement avec une politique tarifaire agressive, avec des licences étudiantes gratuites ou à tarifs préférentiels.
Lors de notre déplacement dans le Nord, OVH nous disait qu'à condition que la commande publique joue le jeu à l'échelle française et européenne, des alternatives pourraient être déployés. M. Balladur, dans ce même article, vous indiquez être environ 30 % moins chers que Microsoft. Est-ce qu'aujourd'hui une montée en charge de votre solution est envisageable, notamment pour les millions d'agents des fonctions publiques ?
Sur le cadre européen évoqué par Me Bidault, au-delà de la préférence européenne qui commence à faire consensus malgré des débats sur son périmètre, qu'en est-il plus concrètement de la révision des directives ? Avez-vous d'autres recommandations plus opérationnelles ?
Je souhaite aussi vous interroger sur vos relations avec les services de l'État, particulièrement la Direction interministérielle du numérique (DINUM) que nous avons auditionnée. On nous parle d'expérimentations soutenues par quelques centaines de milliers d'euros, ce qui paraît insuffisant face aux freins mentionnés. Qu'en est-il de vos relations avec des services qui peuvent être prescripteurs mais aussi développer en interne des solutions parfois en concurrence avec les vôtres ?
M. Thomas Balladur. - Sur le périmètre des données sensibles, je pense qu'il faudrait effectivement inverser la logique : considérer par défaut que toute donnée produite par une administration publique est sensible, à l'exception de celles explicitement déclassifiées. Cela clarifierait le fait que ces données doivent échapper au droit américain.
Concernant Microsoft et la bureautique comme porte d'entrée, vous avez tout à fait raison. La mère des batailles, c'est le cloud - la capacité à développer des data centers opérés par des acteurs européens et français. La facilité d'usage des outils vise d'abord à obtenir l'hébergement des données des clients, dont le modèle économique - stockage, service, mise à disposition de la donnée en temps réel - est plus récurrent et plus rémunérateur que la simple vente de licences. Cette stratégie ne me pose aucun problème, c'est aussi notre modèle. En revanche, dans un contexte d'IA, un vrai drapeau rouge se lève car les données deviennent une matière première pour entraîner des modèles qui nous échappent complètement.
Sur la capacité à déployer des solutions à grande échelle, c'est tout à fait possible. Hexagone est effectivement l'un des consortiums proposant des alternatives à Microsoft en matière de solutions collaboratives et bureautiques. Il y en a d'autres. Nous avons suivi le modèle américain pour déployer notre service : plutôt que de refaire un environnement pour chaque client, nous avons créé un environnement global où les données des clients sont segmentées tout en permettant une collaboration élargie, comme le font Google et Microsoft. Cette approche répond à des besoins concrets : un élu municipal, qui est aussi élu à l'intercommunalité, doit pouvoir accéder à différents espaces de travail depuis un même environnement.
Concernant le passage à l'échelle, nous travaillons étroitement avec la Dinum. Nous avons déployé une marque blanche d'Interstis appelée Resana qui compte aujourd'hui 500 000 utilisateurs. Si nous pouvons servir 500 000 utilisateurs, nous pouvons équiper pratiquement n'importe quelle administration et même de grands groupes français.
Je pense que nous sommes sortis d'une logique où l'on développait des logiciels en mode dual, qu'on spécialisait pour certaines administrations mais qui devenaient ensuite difficiles à maintenir après le départ des développeurs car ne respectant plus les standards du marché. Ce risque n'est plus le prisme actuel de la Dinum. Aujourd'hui, la Dinum crée plutôt des briques fonctionnelles (messagerie, visio) que les acteurs de l'État peuvent déployer et que des acteurs privés peuvent réutiliser et autour desquelles bâtir des communautés. En tant qu'éditeur, j'ai quelques réserves car c'est un métier spécifique qui nécessite de maintenir et d'animer ces communautés dans la durée. Mais si certaines communautés open source y parviennent, servons-nous de ces briques et de cette énergie pour améliorer nos solutions. La Dinum propose des développements intéressants et, avec des moyens supplémentaires, pourrait permettre à l'écosystème d'aller encore plus loin.
Mme Emmanuelle Ertel. - Nous avons peu de relations avec la Dinum, que nous percevons plutôt comme un concurrent ou comme une entité dans la démarche de laquelle il est difficile de s'inscrire. Nous avons aussi un concurrent direct issu de La Poste, ce qui complexifie parfois les relations.
Concernant les données sensibles, c'est une question fondamentale car aujourd'hui, tout est potentiellement sensible - un nom, un prénom, un numéro de téléphone. Prenez l'exemple des personnes qui partagent naïvement sur LinkedIn le CV de leur enfant avec toutes ses coordonnées. C'est exactement ce dont on parle quand on évoque l'acculturation.
En tant qu'éditeur de solutions d'archivage électronique depuis une cinquantaine d'années, le stockage et l'archivage des données sont au coeur de notre activité. Nous sommes hébergeurs de données de santé car nous avons des clients bancaires qui gèrent des dossiers de crédit contenant ces données. L'hypersensibilisation sur les données est cruciale car les utilisateurs ne font souvent pas attention à ce qu'ils partagent.
Toutes les données sont devenues sensibles car, même si une information isolée peut sembler anodine, une fois globalisée et contextualisée, elle acquiert une valeur considérable. Faut-il considérer que tout est sensible jusqu'à preuve du contraire ? Pour l'archivage à valeur probatoire, l'évolution des normes a multiplié par quatre nos coûts de stockage, au point que nos clients, y compris publics, commencent à reculer face à ces coûts. Dans la commande publique, il faut accompagner cette augmentation des coûts tout en restant réalistes, notamment en termes de durée des marchés. Un marché de 12 ans n'a pas de sens au regard de l'évolution des technologies.
Nous avons fait le choix d'internaliser les moteurs d'IA pour nos clients, d'assurer une souveraineté totale. Nous les infogérons, exploitons et installons sans sous-traitance, tout est opéré par nos équipes. Pour l'acculturation, il faut expliquer qu'utiliser des services comme ChatGPT, c'est voir ses données partir ailleurs. Dans les marchés publics, il faut dépasser la souveraineté purement réglementaire pour considérer où sont les équipes qui exploitent et traitent l'information. Nos data centers sont localisés précisément, je peux vous montrer où sont vos données et vous présenter les équipes qui les gèrent, à Bordeaux ou au pire à Madrid. Je défie quiconque d'obtenir cette transparence chez les grands fournisseurs de cloud.
Me Laurent Bidault. - Je constate que les acheteurs publics ont bien intégré les enjeux du RGPD grâce à un véritable accompagnement. En revanche, la sensibilisation reste nécessaire pour les données non personnelles. Sur de nombreux marchés, l'acheteur ne mesure pas l'intérêt et la valeur de ces données.
En tant que juriste, je dois rappeler que les cahiers des clauses administratives générales (CCAG) contiennent deux dispositions importantes : les données utilisées ou créées dans le cadre d'un marché public sont confidentielles et sont la propriété de l'acheteur. L'acheteur n'en a pas toujours conscience. Par exemple, lorsqu'il passe un marché pour la gestion d'une base de données avec un mécanisme de recherche basé sur l'IA, toutes les bases de données et les algorithmes deviennent sa propriété, puisque c'est l'objet du marché.
Concernant les directives européennes, l'équilibre actuel est satisfaisant. Le partenariat d'innovation a été prévu par le droit européen et français, mais n'est pas encore pleinement utilisé. Pour adapter la commande publique aux entreprises innovantes ou aux très petites entreprises (TPE) et aux petites et moyennes entreprises (PME), de nombreux mécanismes pourraient être mobilisés, notamment les avances et les délais de paiement. Dans ma pratique, je vois des entreprises qui, pour leur premier marché public, déchantent face aux retards de paiement et à l'obligation de poursuivre l'exécution des prestations et les livrer comme convenu malgré ces retards. Il existe une réelle inégalité des forces entre l'administration et les petites entreprises innovantes dans l'exécution de ces contrats.
M. Simon Uzenat, président. - D'autres exemples d'asymétrie nous sont remontés par les pouvoirs adjudicateurs. C'est l'une des difficultés identifiées par notre commission et sur laquelle nous travaillons.
Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 18 h 05.
Audition de Mme Emmanuelle Ledoux, directrice générale de l'Institut national de l'économie circulaire
Le compte rendu sera publié ultérieurement