COMPTES RENDUS DE LA CE COMMANDE PUBLIQUE

- Présidence de M. Simon Uzenat, président -

La réunion est ouverte à 13 h 30.

Audition de M. Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)

M. Simon Uzenat, président. - Nous reprenons cette semaine nos travaux en poursuivant l'exercice, engagé depuis plusieurs semaines, de clarification des enjeux actuels en matière de souveraineté numérique, au sujet notamment de l'hébergement des données publiques et du rôle que pourrait jouer la commande publique pour faire progresser notre souveraineté numérique.

Nous avons mis en lumière les signaux contradictoires envoyés par l'État et ses opérateurs, notamment dans le domaine de l'enseignement supérieur, mais aussi la situation de dépendance dans laquelle nous nous trouvons - et, parfois, nous complaisons - vis-à-vis de quelques grands acteurs internationaux. La prise de conscience à ce sujet reste ténue et encore trop peu partagée.

Nos auditions ont pourtant montré qu'une telle situation ne relevait nullement de la fatalité. L'écosystème français de l'innovation est performant, les start-ups sont nombreuses et certains acteurs ont atteint un haut niveau de maturité, si bien qu'ils sont capables d'offrir des services rivalisant avec ceux des Gafam (Google, Apple, Facebook, Amazon, Microsoft). Des solutions souveraines existent. Dès lors, pourquoi ne parvient-on pas à franchir le pas ?

Pour échanger avec nous à ce sujet, nous recevons M. Guillaume Poupard, directeur général adjoint de Docaposte, filiale du groupe La Poste chargée d'offrir des services numériques aux entreprises et spécialisée dans la confiance numérique, et ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et qu'elle fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête est passible des peines prévues aux articles L. 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances.

Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »

Conformément à la procédure applicable aux commissions d'enquête, M. Guillaume Poupard prête serment.

Je vous laisse, dans un premier temps, présenter brièvement Docaposte et son champ d'intervention dans le numérique de confiance auprès des personnes publiques. Quel regard portez-vous, avec l'expérience acquise dans vos fonctions actuelles, sur les pratiques des personnes publiques en matière d'achats numériques ? Leur niveau de compétence est-il, selon vous, suffisant ? Du fait de la complexification des solutions technologiques, parfois entretenue par les fabricants eux-mêmes, les assistants à maîtrise d'ouvrage (Amoa) ne tendent-ils pas à se substituer aux acheteurs eux-mêmes, alors qu'ils ne détiennent aucune légitimité, si ce n'est technique ?

C'est également au titre de l'expertise que vous avez acquise dans le cadre de vos fonctions à la tête de l'Anssi que nous souhaitions vous entendre. Entre 2014 et 2022, une politique publique de la souveraineté numérique a progressivement été élaborée, puis accélérée à la suite de la crise sanitaire et du développement de l'usage de services de cloud. Quels ont été le rôle et l'action de l'Anssi dans ce cadre, aux côtés notamment de la direction interministérielle du numérique (Dinum) ?

Vous avez créé, durant cette période, la qualification SecNumCloud. Associée à un très haut niveau d'exigence, celle-ci garantit l'immunité aux législations extraterritoriales des données hébergées par les produits qualifiés. Quel est le risque qu'emportent ces législations ? L'alliance d'un hyperscaler américain avec un acteur français permettrait-elle de nous prémunir contre ce risque ?

Enfin, vous étiez à la tête de l'Anssi lorsque la décision a été prise d'assurer l'hébergement de la plateforme des données de santé - le Health Data Hub (HDH) - chez Microsoft Azure. Avez-vous été associé à ce processus ? Des acteurs souverains n'étaient-ils pas en mesure d'assurer cette prestation ?

M. Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Je commencerai par évoquer le risque que vous avez pointé avant d'exposer les solutions telles que nous les élaborons depuis plusieurs années.

Le risque, bien connu, est relatif aux législations extra-européennes, pour ne pas dire américaine et chinoise, dont l'esprit est le même, et qui, d'une manière que j'estime excessive, permettent aux États-Unis et à la Chine d'accéder aux données hébergées par les acteurs numériques très puissants qui développent leur activité sur leur sol. Il s'agit non pas d'espionnage, mais, dans le cas des États-Unis, d'un empilement législatif constitué, entre autres, du Patriot Act, du Fisa (Foreign Intelligence Surveillance Act) et du Cloud Act.

S'il est impossible de savoir si ces puissances utilisent ces données ou non, j'estime, pour ma part, qu'il serait incohérent qu'elles ne les utilisent pas. Je pars donc du principe, pour ce qui est de l'analyse du risque, que les outils dont disposent ces États sont bien opérationnels.

Quelles sont les solutions pour nous prémunir contre ce risque ? Depuis plusieurs années, l'Anssi travaille à l'élaboration d'outils - certification, qualification - permettant de garantir la sécurité des produits. Dès 2014, l'arrivée du cloud a rendu nécessaire la mise au point par l'Anssi d'un référentiel permettant aux utilisateurs de se faire une idée de la sécurité réelle des solutions proposées.

Nous avons donc établi des règles à la fois claires et lisibles - relatives à la sécurité technique, au chiffrement, à la sécurité opérationnelle, à l'accès aux data centers... - auxquelles les industriels peuvent se référer lorsqu'ils souhaitent faire qualifier un produit. L'évaluation est réalisée par un tiers indépendant, puis transmise à l'Anssi, qui prend la décision finale au nom de l'État français. L'assise juridique de cet outil, nommé SecNumCloud, est donc solide.

Ce référentiel n'incluait au départ que des critères de sécurité technique et opérationnelle. Je considérais, en effet, que la protection juridique vis-à-vis du droit non européen ne relevait pas du champ de l'Agence. J'ai toutefois rapidement compris que garantir la sécurité technique d'une solution sans garantir la sécurité des données n'avait pas de sens.

Nous avons donc inclus des critères d'immunité au droit extraterritorial, ce qui ne fut pas si simple : il ne suffit pas de dire que les sociétés européennes sont gentilles et que les sociétés non européennes sont méchantes ! En tout état de cause, ces critères sont désormais inclus dans le référentiel.

Il existe aujourd'hui deux manières d'élaborer un cloud satisfaisant aux critères de ce référentiel.

La première consiste à opter pour des technologies américaines, mais à les faire opérer par des acteurs qui ne sont pas soumis au droit américain. De telles offres sont actuellement en cours de développement en France et, même si cela ne relève plus de ma responsabilité, elles sont conçues pour obtenir la qualification SecNumCloud et sont susceptibles de l'obtenir. Elles correspondent à ce que Bercy nommait le cloud de confiance, ou cloud hybride : si la technologie n'est pas souveraine, les opérateurs ne sont soumis qu'au droit européen - c'est du moins ce que l'on espère.

La seconde manière de procéder consiste à développer des solutions concurrentes en faisant opérer des technologies européennes par des acteurs européens tant pour le développement que pour l'exploitation. C'est ce que font Outscale de Dassault Systèmes, OVHcloud ou Scaleway. C'est aussi ce que nous faisons chez Docaposte, notamment dans le cadre de l'offre NumSpot que nous avons développée en partenariat avec la Banque des territoires, Bouygues Telecom et Dassault Systèmes, de manière à proposer une offre totalement maîtrisée - terme que je préfère à « souveraine », même s'il s'agit aujourd'hui de l'expression consacrée. L'objectif est de proposer des offres de cloud qui soient naturellement immunes au droit extraterritorial.

L'open source étant aujourd'hui mature - ce n'était pas vrai il y a dix ans -, il est possible, à condition de disposer d'ingénieurs qualifiés, ce qui est le cas, d'intégrer des technologies open source dans l'élaboration d'un produit robuste, efficace, sécurisé et immun aux droits américain et chinois. Tel est le pari que NumSpot est en train de gagner.

Une telle offre peut-elle être qualifiée de souveraine ? Je pense que oui. Les offres hybrides que j'évoquais sont-elles souveraines ? De toute évidence, on ne parle pas du même type de produit, la principale différence tenant, à mon sens, non pas à la sécurité, mais à la disponibilité des technologies. Si, demain, les fournisseurs de technologies américains décident de couper l'accès à leurs technologies, compte tenu de l'évolution constante des outils et des mises à jour nécessaires à leur fonctionnement, les systèmes hybrides s'effondreront très rapidement, au bout non pas de quelques années ou de quelques décennies, mais de quelques jours, peut-être de quelques semaines.

Dans le contexte géopolitique actuel, que personne n'aurait pu prédire il y a quelques années, même les personnes aussi paranoïaques que moi, des décisions politiques pourraient tout à fait interdire la diffusion de technologies. C'est un risque que l'on ne peut pas prendre.

Docaposte est la filiale numérique de La Poste. Elle a été créée pour proposer des solutions et des services nativement souverains - nous produisons des produits souverains comme M. Jourdain faisait de la prose... Notre modèle économique repose sur le développement de produits en Europe, principalement en France. L'hébergement est assuré dans des data centers situés en France, dans des sites dont nous sommes propriétaires et par des opérateurs qui sont nos salariés.

Nous proposons nos services en matière de conseil, d'édition de logiciels et de fabrication de plateformes dans trois domaines prioritaires : le secteur public ; la santé ; l'éducation. Le choix de ces domaines d'activité ne doit rien au hasard. Nous les avons choisis en raison de la sensibilité des données concernées, laquelle, il est vrai, n'est pas toujours clairement reconnue par la réglementation.

À titre d'exemple, Docaposte a acquis, il y a quelques années, Index Éducation, une société qui édite notamment le logiciel Pronote. Celui-ci est utilisé par l'immense majorité des collèges et des lycées pour gérer notamment les notes et les absences des élèves, les évaluations des professeurs et les cahiers de textes.

Lorsque le fondateur de cette très belle société a souhaité passer la main, nous nous sommes rendu compte de la sensibilité des données gérées par Pronote : toutes les notes, absence et remarques sur nos enfants ! Elles sont soumises au règlement général sur la protection des données (RGPD) mais je ne crois pas qu'un texte spécifique reconnaisse la sensibilité de ces données. Elles le sont pourtant intuitivement, tout comme les données de santé. Lorsque des fonds de pension, notamment anglo-saxons, ont envisagé de racheter cette société, nous avons considéré qu'il fallait qu'elle soit cédée à un opérateur de confiance tel que Docaposte. De telles données doivent, en effet, être gérées de manière éthique - un business plan infernal et très profitable consisterait, par exemple, à vendre ces données à des sociétés proposant des cours à domicile. Sachant que nous disposons des notes de tous les élèves de France, nous pourrions sans doute proposer un ciblage dont les Gafam eux-mêmes seraient incapables...

Docaposte entretient de très bonnes relations avec les services de l'État, notamment avec la Dinum. Pour ma part, je suis passé de l'Anssi, où les relations avec les services de l'État étaient très bonnes, à Docaposte, où il en va de même, le tout dans un respect total de la déontologie. Nous partageons en particulier avec la Dinum les mêmes intuitions en matière de maîtrise et de souveraineté de la donnée, l'enjeu étant de trouver le bon équilibre entre ce qui doit être fait par l'État et ce qui doit être fait par des acteurs industriels.

En tant qu'ancien directeur de l'Anssi, j'estime que, pour piloter des prestataires, les services de l'État doivent compter des experts et disposer de la compétence nécessaire. Lorsque je la dirigeais, j'encourageais les experts de l'agence à élaborer des Proof of concept (POC) et des démonstrateurs. J'ai en revanche toujours été très réticent à développer des produits en son sein et, chaque fois que nous l'avons fait, je l'ai regretté, car il s'agit au fond d'un autre métier. La maintenance, la gestion des utilisateurs et les corrections n'amusent pas les experts !

Il faut donc que les services de l'État disposent des moyens de recruter des experts et que ces derniers élaborent des stratégies claires, puis qu'ils sachent passer la balle à des industriels de confiance pour le développement de produits - autrement dit, qu'ils leur attribuent des marchés publics.

J'en viens au sujet de votre commission d'enquête. Si les critères de prix, de responsabilité sociétale des entreprises (RSE) et de performance technique sont maîtrisés par les acheteurs publics, il en va tout autrement des critères de sécurité. De fait, lorsque je dirigeais l'Anssi, j'ai constaté que, du fait d'un défaut de formation, les acteurs publics ne savent pas comment s'assurer de la sécurité des produits qu'ils achètent - nous avions du reste travaillé avec la direction des achats de l'État (DAE) à l'élaboration d'un guide à destination des acheteurs.

Quelques années plus tard, nous sommes exactement dans la même situation. Pour y remédier, il faudrait former les acheteurs dans ce domaine, mais il faudrait aussi que les donneurs d'ordre acceptent de payer un peu plus cher pour acquérir des solutions dont la sécurité et la disponibilité sont garanties. Cela suppose une volonté et un courage durables, car il est toujours plus facile d'acheter les mêmes produits que d'autres acheteurs, quitte, le cas échéant, à se tromper ensemble. Il est toujours plus dur d'avoir raison tout seul... Compte tenu des doutes qui continuent de peser sur la validité des critères de souveraineté, il faut encore beaucoup de courage pour intégrer ces critères et en payer le prix.

M. Dany Wattebled, rapporteur. - En tant que dirigeant de l'Anssi, vos conseils ont-ils été sollicités dans le cadre des marchés publics passés par l'Union des groupements d'achats publics (Ugap) ou par le Health Data Hub ? De combien d'agents disposiez-vous ?

Qu'est-ce qui s'oppose à l'introduction d'une clause de souveraineté dans les marchés publics ?

De nombreuses données sensibles ont été confiées à Microsoft. Selon vous, que fait la Commission nationale de l'informatique et des libertés (Cnil) et à quoi sert le RGPD ?

Nous avons bien compris que de nombreux marchés publics de fourniture ou d'hébergement passaient par l'Ugap, et que de nombreux marchés étaient attribués à Microsoft parce que l'Ugap disposait des produits de cette société dans son catalogue. Comment faire en sorte que les acteurs français qui sont capables de développer des solutions souveraines se voient attribuer des marchés publics ?

M. Guillaume Poupard. - Les rapports entre l'Anssi et l'Ugap ou d'autres structures se sont construits au fil du temps. Quand je suis arrivé à l'Anssi, l'agence était très jeune, et la confiance n'était pas établie. Nos efforts ont payé.

Lorsque nous avons constaté que les administrations achetaient des produits américains plutôt que les produits certifiés ou qualifiés par l'Anssi, au motif que ces derniers ne figuraient pas dans le catalogue de l'Ugap, nous nous sommes rapprochés de celle-ci pour remédier à cette situation, notamment par le biais d'une convention.

Pour ce qui est des projets, le cas du HDH est assez emblématique et je ne veux pas l'esquiver. Lorsque cette idée, très observée politiquement, a été lancée, j'ai indiqué aux conseillers de l'Élysée qui m'ont interrogé, au côté de la CNIL, sur la marche à suivre pour obtenir une solution sécurisée et réglementairement fiable qu'il y avait, selon moi, deux questions à traiter. La première concernait la sécurité et devait être prise en charge par l'Anssi. C'était en effet le devoir de l'agence, en tant qu'autorité nationale de cybersécurité, et sa mise à l'écart n'était pas une option. La seconde difficulté, plus politique, avait trait à la souveraineté. Sans vilain jeu de mots, je ne veux pas tirer sur une ambulance, mais, parmi les solutions qui étaient disponibles pour héberger le HDH, Microsoft était la mieux placée.

M. Dany Wattebled, rapporteur. - Des acteurs français nous disent aujourd'hui qu'ils auraient pu s'en charger.

M. Guillaume Poupard. - Ils auraient dû développer des solutions, mais ce n'est pas le choix qui a été fait, car il s'agissait d'aller vite.

M. Dany Wattebled, rapporteur. - Mais vous me confirmez que des acteurs français auraient pu répondre à l'appel d'offres ?

M. Guillaume Poupard. - À vrai dire, je ne suis pas certain qu'il y ait eu un appel d'offres, mais, plutôt que de pleurer sur le lait versé, je crois qu'il faut se concentrer sur ce qui se passe aujourd'hui. Or, aujourd'hui, il est certain que des acteurs français sont prêts ! Leur catalogue de services est certes moins complet que celui des Gafam, mais, lorsque l'on achète une voiture, on n'achète pas l'ensemble du catalogue de la marque. Aujourd'hui, les clouders français proposent les services dont nous avons besoin.

En matière d'hébergement, Amazon offre 200 ou 300 services. C'est très utile pour des acteurs qui souhaitent se lancer très vite, d'autant que tout est quasiment gratuit, même si la contrepartie est l'enfermement dans un environnement. Lorsque nous avons établi la feuille de route technologique de NumSpot, nous avons fait le tour de nos clients, notamment en interne - La Poste, la Caisse des dépôts et consignations -, et nous nous sommes rendu compte que 90 % des besoins étaient couverts par moins d'une dizaine de services. Nous n'avons donc pas un catalogue aussi étoffé que Microsoft, et cela durera sans doute. En revanche, les services que nous proposons couvrent les besoins du HDH.

En 2018-2019, il aurait fallu avoir le courage de financer le développement de solutions souveraines - je précise que cela se serait chiffré non pas en milliards, mais en millions d'euros. Nous pouvons donc à bon droit regretter d'avoir perdu du temps, sur ce projet comme sur d'autres, mais le passé est le passé.

J'estime qu'il faut avoir le courage d'instaurer les clauses de souveraineté. Le principal obstacle est que, sauf dans des cas très particuliers, relatifs à la défense ou à la sécurité nationale, ce serait considéré comme du protectionnisme au regard des règles de l'Organisation mondiale du commerce (OMC).

En France, nous avons pu instaurer la qualification SecNumCloud grâce à un accord interministériel. Dans le cadre des négociations relatives au EUCS (European Union Cybersecurity Scheme for Cloud Services), qui en est l'équivalent européen, nous avons plaidé pour l'adoption d'un système calqué sur le système français, qui a fait la preuve de son efficacité. On nous a opposé de violentes critiques, au motif que cela contreviendrait aux règles de l'OMC, si bien que la situation est actuellement bloquée - à un certain moment, j'ai même craint que le projet ne soit tout simplement abandonné ou aboutisse à un accord sur une norme ne garantissant pas la protection contre les législations extraterritoriales. Il revient in fine au politique d'assumer que nous souhaitons acheter des systèmes européens plutôt qu'américains ou chinois.

En la matière, la Cnil a été très courageuse. Elle se doit d'avoir une lecture juridique du problème. Les décisions d'adéquation de la Commission européenne - Safe Harbor, Privacy Shield, et Data Privacy Framework (DPF) - sont insupportables, car elles reviennent à mettre un voile pudique sur le non-respect du RGPD par le droit européen. On se rassure en se disant que c'est la condition pour développer le numérique en Europe, mais j'ai trouvé scandaleux que le DPF soit annoncé par la présidente de la Commission européenne en même temps que l'accord trouvé sur le gaz liquéfié américain dans le cadre de la crise ukrainienne. Chacune de ces décisions est ensuite cassée, notamment grâce à la détermination de l'avocat autrichien Max Schrems, mais, chaque fois, cela prend quatre ans, durée pendant laquelle les acteurs américains profitent cyniquement du système.

Il reste que nous avons des industriels français assez remarquables qui, au-delà des aides et des subventions, ont besoin de marchés publics pour se développer. Les produits américains sont certes performants, mais, en sus des subventions que les industriels ont probablement perçues, ils ont accès à un marché domestique qui est sans commune mesure avec le marché français.

Il ne faut donc céder ni au renoncement ni à la tentation de sauter des étapes. Il ne faudrait pas, notamment, renoncer au cloud pour nous concentrer sur l'intelligence artificielle, car il faudra bien opérer celle-ci dans un cloud. Nous avons les moyens, aujourd'hui, de maîtriser l'ensemble de la chaîne numérique.

Mme Catherine Morin-Desailly. - Sans pleurer sur le lait versé, il faut reconnaître que nous avons perdu dix ans. Nous avons raté une étape stratégique, ce qui permet à MM. Letta et Draghi de déplorer le déficit de politique industrielle européen.

Je rappelle, du reste, que c'est au Sénat, le 16 juillet 2020, que le Gouvernement avait été interrogé sur les raisons pour lesquelles aucun appel d'offres spécifique n'avait été lancé pour l'hébergement du HDH. Les entreprises que nous avons entendues nous indiquent, de plus, qu'elles ne candidatent pas tant les exigences sont nombreuses et les cahiers des charges complexes.

Vous avez mentionné les deux leviers que sont la formation des acheteurs et la volonté politique de se prémunir contre les risques, en particulier géopolitiques. Le risque de préemption de nos donnes est accru, en raison notamment de la faiblesse du troisième accord d'adéquation. J'estime qu'il est de notre devoir de nous doter d'outils sécurisés.

La doctrine « cloud au centre », avec la qualification SecNumCloud et la notion de cloud de confiance, a-t-elle été pensée comme un moyen de continuer à travailler avec Microsoft et avec les technologies américaines après le constat de l'impossibilité de confier sur le long terme l'hébergement du HDH à cette entreprise soumise au droit américain ? Cédric O, qui était alors secrétaire d'État chargé du numérique, vous a-t-il explicitement passé commande d'une telle solution ?

Estimez-vous que les dispositions de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi Sren, suffiront à conduire le Gouvernement à adopter les solutions totalement immunes que vous avez décrites ? Le décret d'application, dont le projet a été transmis à Bruxelles, vous paraît-il suffisamment clair et étoffé en ce sens ?

M. Henri Cabanel. - Qui devrait, selon vous, former les acheteurs ? Et comment s'assurer que les acheteurs sont effectivement formés ?

Vous avez indiqué qu'il fallait s'affranchir des règles de l'OMC, mais préconisez-vous d'évaluer au préalable les difficultés juridiques auxquelles nous pourrions nous exposer, ou pensez-vous qu'il faut agir d'abord et aviser ensuite ?

M. Guillaume Poupard. - Actuellement, la géopolitique nous aide, car même ceux qui nous trouvaient paranoïaques sont dépassés. Il faut en profiter pour construire maintenant, avant un retour à une situation plus normale, sans laisser le temps passer. La commande publique doit devenir un véritable outil de politique industrielle, ce qui nécessite un rapprochement entre ces deux métiers différents, qui ne se croisent pas beaucoup actuellement.

S'agissant de la doctrine « cloud au centre », elle résulte d'un travail de la Dinum, mené en étroite coopération avec l'Anssi sur les questions de sécurité. Bien qu'il n'y ait pas eu de commande ministérielle écrite explicite, une pression s'est exercée pour faire durablement évoluer la situation du numérique dans le secteur public, et aucun frein n'a été opposé à son développement - bien au contraire.

Cette doctrine a été rédigée et portée politiquement ; elle l'est toujours, comme en témoigne le récent courrier de trois ministres - Mme Chappaz, Mme de Montchalin et M. Ferracci - rappelant qu'elle est d'application obligatoire dans toutes les administrations, qui doivent recourir à un cloud de confiance pour les usages publics.

De plus, les contrôleurs budgétaires et comptables ministériels (CBCM) seront désormais chargés de contrôler les achats de cloud et leur compatibilité avec cette doctrine, ce qui en fait un sujet budgétaire, et non plus seulement un problème des directions informatiques ministérielles. C'est une évolution très positive à mes yeux.

Cette doctrine a été davantage examinée, et critiquée, par certains partenaires européens, car la certification en elle-même ne traite pas de l'usage qui sera fait des labels créés. C'est lorsqu'il est question d'imposer la qualification SecNumCloud dans tout le périmètre concerné que les choses deviennent plus concrètes et suscitent des inquiétudes, comme on a pu le voir dans le cadre des débats sur la loi Sren. À l'échelle européenne, lors des négociations sur la certification EUCS, il a fallu rassurer certains de nos partenaires sur le fait que les systèmes de certification ne seraient pas utilisés de manière abusive en appliquant le plus haut niveau de sécurité à toutes les applications possibles. Il faut trouver le bon équilibre pour montrer une volonté de se doter d'outils performants sans pour autant prétendre vouloir les appliquer partout.

Faut-il que toutes les données publiques imaginables soient hébergées sur du cloud qualifié SecNumCloud ? On pourrait le souhaiter, mais cela pourrait s'avérer contre-productif et faire peur à nos partenaires. Il convient donc, par pragmatisme, de procéder par étapes, en commençant par les données sensibles. Pour autant, la définition de celles-ci ne va pas de soi, et ce travail impose d'accepter que certaines données soient moins sensibles - je le dis non par gaieté de coeur, mais par souci de pragmatisme. Le périmètre des données sensibles ne doit pas pour autant être trop réduit. Ainsi, les données issues de l'éducation, voire de la santé, ne sont pas formellement reconnues comme sensibles aujourd'hui.

Un travail collectif est nécessaire pour parvenir à finaliser cette définition, comme celui qu'a mené Docaposte au sein du nouveau comité stratégique de filière (CSF) dédié au numérique de confiance. De même, le décret d'application de l'article 31 de la loi Sren impose une telle réflexion : que fait-on, par exemple, des systèmes existants, comme le HDH ?

Ma principale crainte est le risque que les règles de dérogation et d'exclusion ne perdurent indéfiniment. Une décision doit venir, non des responsables techniques mais d'en haut, pour déterminer si nous sommes prêts ou non à avancer, indépendamment des surcoûts ponctuels liés à la nécessité de redévelopper certains systèmes complexes difficilement portables d'un cloud à l'autre. Bien que souhaitable, la portabilité est en effet bien plus complexe pour le cloud que pour les numéros de téléphone ou les comptes bancaires.

Nous disposons désormais de bonnes bases pour progresser, lesquelles ont fait l'objet de discussions et d'un vote. Une véritable impulsion est désormais indispensable. À ce titre, il appartient aux responsables, et non aux acheteurs, qui ne font qu'appliquer les consignes, de prendre les décisions, en tenant compte des risques identifiés par les juristes, tout en assumant certains d'entre eux, au cas par cas. Il n'y a pas de règle unique. Il faut faire du sur-mesure, mais la responsabilité revient bien aux décideurs.

En matière de formation, les acheteurs sont en mesure de rédiger les clauses et de procéder techniquement dès lors qu'ils auront reçu les orientations adéquates. Un travail avec la DAE sur ce sujet pourrait s'avérer fructueux à court terme, à l'image de celui qui a été mené précédemment sur la cybersécurité, pour la satisfaction de tous.

M. Dany Wattebled, rapporteur. - Toute donnée est sensible dès lors qu'elle concerne la vie privée et qu'elle peut être regroupée et exploitée. Le problème réside dans la donnée elle-même, indépendamment de sa nature.

Établir une gradation dans la sensibilité des données me semble bien difficile. Qu'il s'agisse d'informations relatives à la santé, aux assurances ou au patrimoine, à partir du moment où elles sont catégorisées, triées, accessibles, et dès lors que l'intelligence artificielle s'en empare, les données deviennent exploitables, donc sensibles.

M. Guillaume Poupard. - Je suis d'accord avec vous : il est aisé de citer des exemples de données sensibles, outre celles qui le sont réglementairement ou intuitivement. Le véritable enjeu réside dans le fait que l'accès global à une multitude de données non sensibles en elles-mêmes peut, par leur somme, revêtir un caractère sensible. Ce principe est d'ailleurs pris en compte dans la réglementation relative aux données de défense.

Que les acteurs numériques américains aient accès au contenu des téléphones de mes enfants, par exemple, ce n'est pas très grave, car ces informations ne relèvent pas du secret défense. Pour autant, l'agrégation des données de tous les enfants à l'échelle de la planète leur conférerait incontestablement une sensibilité aiguë.

Ma crainte est que vouloir tout faire évoluer en un seul coup ne conduise finalement à l'immobilisme.

Dans le domaine industriel - un exemple qui permet d'éviter les écueils liés au RGPD et aux données personnelles -, les données sont identifiées comme un secteur en très forte croissance, dépassant largement en volume les données personnelles, et connaissant une progression appelée à se poursuivre. Là encore, il peut s'agir de données techniques qui, prises indépendamment, n'ont aucune valeur ; cependant, lorsque l'on dispose de l'ensemble des données industrielles d'un grand groupe, il en va tout autrement.

Je sais que vous percevez combien mon argumentation manque de conviction : cela reflète mes propres doutes sur le sujet.

M. Simon Uzenat, président. - Nous sommes nombreux à considérer, dans cette commission d'enquête sur la commande publique, que toute donnée publique est, par définition, sensible.

Certes, des degrés peuvent exister dans la sensibilité, mais le principe doit demeurer que toutes ces données sont sensibles. Les auditions de représentants d'établissements d'enseignement supérieur, par exemple, ont montré que même des données à caractère simplement administratif pouvaient, une fois compilées, servir à l'intelligence économique ou à bien d'autres finalités.

Notre sujet est bien cette préoccupation et sa traduction. S'il n'est pas nécessaire d'appliquer le label SecNumCloud à toutes les données publiques, l'immunité aux législations extraterritoriales doit en revanche pouvoir s'appliquer automatiquement dans le cadre des marchés qui emportent un traitement de ces données.

La commission délibérera le moment venu, mais cela fera très probablement partie des orientations qui seront portées de façon consensuelle.

Par ailleurs, la question des assistants à maîtrise d'ouvrage a été soulevée, car il s'agit d'un sujet récurrent. Vos différentes expériences, à l'Anssi puis à Docaposte, pourraient éclairer ce point, car les adhérences capitalistiques entre les acteurs contribuent au retard que nous avons pris. La responsabilité est certes collective, mais les Amoa jouent un rôle particulier dans le processus.

Le courrier des ministres auquel vous avez fait référence pour rappeler la nécessité de respecter les règles existantes nous semble choquant. Cela interpelle fortement sur la prise en compte et sur la prise de conscience politique de l'urgence et du caractère non négociable de ces prescriptions, même si des problèmes de formation ou de maturité peuvent être invoqués. Les auditions de ministres actuels ou passés que nous réaliserons prochainement leur permettront de rendre compte de leurs actions et de leurs décisions en la matière.

De vos propos ressort bien le sentiment, largement étayé par les faits au fil de nos auditions, que du temps a été perdu en la matière.

Quant à la souveraineté sur les données et aux mentions visant à garantir notre immunité à l'égard des législations extraterritoriales, il ne s'agit pas de protectionnisme. Si tel était le cas, cela reviendrait à admettre que les États se comportant comme des empires conquérants dans le monde numérique auraient toujours raison, ce qui n'est pas acceptable.

La logique économique et capitalistique peut être entendue, mais la protection des données et le respect de notre souveraineté juridique ne sont pas négociables. A notre connaissance, la Banque centrale européenne a introduit des clauses en ce sens dans des marchés récents. Si cela devait nous conduire à prendre un risque à l'égard d'organisations internationales - aujourd'hui bien mal en point... -, il faudrait l'accepter. Ce sera, là aussi, une parole forte portée par notre commission.

M. Guillaume Poupard. - Le label SecNumCloud est né d'une volonté d'offrir un niveau de qualité élevé. Il serait dénué de sens de rechercher des solutions immunes au droit non européen, sans se préoccuper de leur sécurité. Remettons les choses dans le bon ordre : il faut avant tout des solutions sûres et fonctionnelles. Un cloud qui ne fonctionnerait pas correctement, même s'il était parfaitement conforme aux couleurs nationales, ne servirait objectivement à rien.

C'est le discours que je tenais à l'Anssi auprès des industriels français : faites de bons produits, puis mettez en valeur leur caractère souverain et digne de confiance. Ce n'est pas parce qu'un produit est souverain qu'il se vendra, s'il est de mauvaise qualité.

M. Simon Uzenat, président. - Les différentes auditions menées, notamment celles de France Digitale, d'Hexatrust et de différents opérateurs économiques, ont toutes confirmé que la sécurité était au coeur de leur activité et de leurs préoccupations, et qu'ils étaient aujourd'hui largement au niveau.

En tant que garants des intérêts de la Nation, le sujet de la sécurité est évidemment central pour nous, et nous sommes aujourd'hui prêts à affirmer que les solutions françaises et européennes n'ont rien à envier, notamment en matière de sécurité, aux systèmes proposés par des puissances étrangères.

M. Guillaume Poupard. - Il s'agit bien de concilier sécurité et souveraineté. Le label SecNumCloud correspond à un niveau de sécurité élevé, dont tout ne doit probablement pas relever.

Ce référentiel vise à répondre à l'une des obsessions de l'Anssi, liée au fait que le cloud est, pour schématiser, un système au sein duquel de nombreux utilisateurs cohabitent. S'il s'avère que, derrière le client voisin, il y a les services russes, une isolation très forte entre les différents clients sera appréciée. C'est complexe à mettre en oeuvre et il en résultera un coût opérationnel pour les opérateurs, mais nous savons le faire. Cet effort est précisément celui qu'exige la qualification SecNumCloud, car nous faisons cette hypothèse qui peut paraître un peu folle, mais qui est très réaliste dans certains cas.

Cependant, cela ne s'applique pas à toutes les situations : chez Docaposte, où les systèmes de cloud privé internes sont en train d'être refondus complètement, les clients sont les business units de l'entreprise. Sauf très mauvaise surprise, aucune d'entre elles ne travaille pour les services russes, ce qui permet de relâcher certaines contraintes par rapport à SecNumCloud. Pour des acteurs de cloud privé, c'est en revanche plus difficile.

Certains ont pu juger le processus trop compliqué, trop cher, trop long ou trop lourd : c'est le prix à payer pour des systèmes de cloud public véritablement sûrs.

Lorsque j'étais à l'Anssi, je demandais à ceux qui se plaignaient de la complexité de SecNumCloud quelle règle ils souhaitaient supprimer, sans jamais obtenir de réponse intelligente. Tel est, malheureusement, le prix à payer pour disposer de quelque chose de robuste. Or nous avons besoin de construire notre numérique sur des fondations robustes.

Les Amoa sont-ils manipulés ? Ils sont là pour aider leurs clients et pour faire des affaires. J'observe, concernant notre offre NumSpot, que la plupart des acteurs du domaine n'ont pas prétendu vouloir travailler exclusivement avec nous - le contraire serait absurde de leur part -, mais qu'ils nous ont rapidement intégrés à leur catalogue et que nous avons répondu ensemble à des appels d'offres de référencement, notamment pour des centrales d'achat.

À mon sens, les Amoa répondent au marché et à ce que leurs clients leur demandent ; je ne les considère pas forcément comme des suppôts vendus aux acteurs américains ou chinois, même s'il peut exister des contre-exemples. Si le décideur exprime sa volonté d'utiliser du cloud de confiance européen, l'Amoa l'accompagnera pour en acheter et en intégrer. S'en prendre uniquement à ce dernier serait probablement inefficace.

M. Simon Uzenat, président. - Ce n'est pas ce que nous faisons, mais nous avons constaté l'existence de liens parfois très étroits, y compris sur le plan capitalistique, entre certains acteurs, ce qui est d'ailleurs publiquement reconnu dans un certain nombre de cas - et cela peut se comprendre.

M. Guillaume Poupard. - Ils se tournent surtout vers ce qui est efficace, vers ce qui fonctionne et plaît à leurs clients.

M. Simon Uzenat, président. - C'est l'histoire de l'oeuf et de la poule : si la responsabilité politique au plus haut niveau est indéniable, les élus locaux n'ont pas la capacité de structurer des filières à l'échelle de leur territoire, et ne vont donc pas se lancer dans une croisade sur la souveraineté numérique. Ils se fieront aux experts, réels ou supposés, et à la parole des Amoa, lesquels expliqueront que tel système a déjà été déployé avec succès dans plusieurs collectivités de taille équivalente. Même s'ils mentionnent, au fil de la discussion, l'existence d'une solution souveraine, ils insisteront surtout sur celle qui aura déjà été déployée, connue et sécurisée. Certes, le choix revient à la collectivité, mais il y a une orientation.

M. Guillaume Poupard. - Vous avez raison, mais les Amoa sont souvent un miroir renvoyant à leurs clients ce qu'ils veulent entendre. Un bon Amoa aidera un client qui souhaite réellement acheter français à le faire ; en revanche, si le client espère avant tout s'entendre dire qu'il n'y a pas d'autre choix que Microsoft, l'Amoa ne le détrompera pas. Ce n'est d'ailleurs probablement pas son rôle.

M. Simon Uzenat, président. - On pourrait pourtant entendre, dans vos propos sur la sécurité, une forme de prévention - à tout le moins - à l'égard des solutions françaises et européennes, et l'idée que, de l'autre côté, les solutions américaines seraient parfaitement sûres, la souveraineté étant un autre sujet.

Nous jouons un rôle de prescripteurs ou, tout au moins, d'orientation dans la réflexion. De notre point de vue, il ne s'agit pas d'affirmer que tout est de la responsabilité des Amoa, mais ceux-ci font partie d'un système qui a conduit notre pays, et notre continent, à prendre du retard ; nous pouvons collectivement en convenir.

Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 14 h 35.

Problématique de la commande publique dans les collectivités d'outre-mer - Audition de Mmes Karine Delamarche, directrice générale adjointe des outre-mer, Laetitia Malet, déléguée générale adjointe de l'Association des communes et collectivités d'outre-mer (ACCDOM), MM. Anthony Lebon, administrateur et président de la commission BTP-Logement de la Fédération des entreprises des outre-mer (FEDOM) (en visioconférence), et Dominique Vienne, président du Conseil économique et social régional de La Réunion, ancien président de l'association de la stratégie du bon achat et du Haut Conseil de la commande publique de La Réunion (en visioconférence)

Le compte rendu sera publié ultérieurement

Audition de M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)

M. Simon Uzenat, président. - Nous reprenons aujourd'hui nos travaux en approfondissant l'étude des enjeux de souveraineté numérique dans la commande publique, un sujet que nous portons avec beaucoup de détermination, à l'initiative de notre rapporteur.

La plupart des témoignages que nous avons recueillis sont convergents : les pratiques actuelles des acheteurs publics, au premier chef l'État, mais également les collectivités territoriales, peut-être moins sensibilisées, ou encore les hôpitaux, ne sont pas à la hauteur des enjeux ou, à tout le moins, pleines de contradictions. C'est tout particulièrement vrai s'agissant de la protection des données publiques hébergées en nuage chez des opérateurs parfois soumis à des législations extraterritoriales. Je tiens ici à préciser que nos critiques des pratiques concernées sont liées au fait que des conditions préalables pour être à la hauteur de ces enjeux, notamment en termes de moyens et d'accompagnement de ces différents acteurs, ne sont pas remplies.

Au sein de l'État, une structure est chargée de protéger les systèmes d'information publics contre les agressions extérieures et de certifier les solutions techniques développées par des éditeurs et destinées à assurer cette protection. Il s'agit de l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui compte près de 660 agents pour faire face à une menace cyber qui s'aggrave. L'Anssi est, pour ce qui intéresse tout particulièrement notre commission d'enquête, l'organisme qui a défini la qualification « SecNumCloud », dont l'objet est d'attester du caractère souverain des offres de cloud proposées par des opérateurs volontaires.

Pour échanger avec nous à ce sujet, nous recevons M. Vincent Strubel, directeur général de l'Anssi.

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je vous rappelle qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »

Conformément à la procédure applicable aux commissions d'enquête, M. Vincent Strubel prête serment.

Notre commission d'enquête cherche à comprendre comment la commande publique peut servir de levier pour faire progresser la souveraineté numérique européenne et pourquoi les acheteurs publics français semblent encore très frileux à cet égard. Comment le travail de sensibilisation que réalise l'Anssi sur le sujet est-il accueilli par vos différents interlocuteurs ? Quelles sont les principales idées reçues que vous devez combattre ?

L'application des législations extraterritoriales, notamment américaines, sur les hébergeurs de données qui sont les prestataires des personnes publiques nous inquiète tout particulièrement. Quel regard portez-vous sur cette menace ? La qualification SecNumCloud est-elle une parade infaillible ? Est-elle surtout adaptée à toutes les prestations d'hébergement attendues par les personnes publiques ? Quelles seraient les autres façons de développer des offres de confiance ?

Je précise que nous avons auditionné hier votre prédécesseur, M. Guillaume Poupard, avec qui nous avons pu commencer à échanger autour de ces enjeux.

Par ailleurs, la transposition prochaine de la directive NIS 2 va faire entrer environ 1 500 collectivités territoriales dans son champ en les qualifiant d'« entités essentielles », à qui s'imposeront des obligations particulières de sécurité de leurs systèmes d'information. Elles feront nécessairement appel à des prestataires extérieurs, dans le cadre de marchés publics, pour les assister. Avez-vous envisagé des mesures, ou au moins des actions de sensibilisation, pour que les grands acteurs américains du conseil digital n'en profitent pas pour asseoir leur position dominante ?

Enfin, nous avons été interloqués - c'est le moins que l'on puisse dire - par la situation de la plateforme des données de santé - le Health data hub - qui est hébergée chez Microsoft Azure depuis sa création. Comment l'Anssi est-elle associée aux travaux en cours visant à la faire migrer vers un hébergement souverain, en application de l'article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi « Sren » ?

M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). - L'Anssi, comme vous l'avez rappelé, est un service à compétence nationale rattaché au Premier ministre.

Notre agence se consacre exclusivement au champ de la cybersécurité et en couvre toutes les dimensions, ce qui nous conduit à jouer plusieurs rôles : nous sommes à la fois experts, porteurs de politiques publiques, opérateurs et régulateurs, et j'aime à nous présenter comme le chef d'orchestre d'une action collective de l'État, du secteur privé et des collectivités territoriales dans le domaine de la cybersécurité.

Notre mission est triple : elle consiste tout d'abord à défendre les systèmes d'information essentiels pour la Nation, en anticipant et en détectant les cyberattaques, et en y mettant fin lorsqu'elles surviennent.

Nous nous chargeons aussi de sécuriser les systèmes d'information de l'État et des opérateurs d'importance vitale, en utilisant le pouvoir d'injonction qui nous est conféré par la loi. Enfin, nous remplissons une mission aux contours plus flous, mais qui est tout aussi importante, à savoir la promotion plus générale de la cybersécurité auprès d'acteurs qui ne sont pas placés sous notre autorité, mais auxquels nous pouvons proposer des formations.

M. Simon Uzenat, président. - Comme vous pouvez le faire avec les parlementaires au début de leur mandat, en les sensibilisant à ces enjeux de cybersécurité.

M.Vincent Strubel. - Vous êtes en effet des cibles. Notre coeur de métier historique consiste à répondre à des menaces venant d'États qui nous espionnent et qui, pour certains, mènent des actions de déstabilisation, voire de sabotage. Ces menaces émanent également, d'une manière plus marquée dans la période récente, d'acteurs du crime organisé, qui peuvent avoir des liens avec des États, mais qui poursuivent une logique principalement lucrative, en cherchant à monnayer le vol de données et en paralysant des systèmes d'information.

S'y ajoute une composante dite « activiste », aux contours plus imprécis dans la mesure où il est question d'acteurs qui mènent des cyberattaques au nom de causes diverses. Ils cherchent la sidération et poursuivent l'objectif de marquer les esprits au service desdites causes - et parfois surtout au profit de leur image personnelle.

Pour ce qui concerne notre rôle dans la commande publique, je rappelle que nous ne disposons pas, sauf cas particulier, d'un pouvoir de contrainte et que nous jouons avant tout un rôle de conseil, avec un coeur de métier historique qui est celui de l'analyse et de l'appréciation des risques.

Nous accompagnons ainsi des entités - administrations, collectivités et acteurs du secteur privé, dont des opérateurs d'importance vitale - afin de les aider à identifier et à évaluer les risques afférents à l'usage du numérique dans tel ou tel cas d'usage. L'acceptation de ces risques relève in fine de la responsabilité de ces entités, puisqu'il s'agit évidemment de concilier cet aspect avec d'autres impératifs, qu'il s'agisse de budget ou de performances.

Notre accompagnement englobe également la conception du système d'information de ces entités, en les aidant dans des choix de solutions et d'architecture, là encore sans imposer des décisions, mais en étant force de conseil, voire d'instruction de questions plus spécifiques.

Cet accompagnement, qui peut être individualisé, revêt en outre une dimension systémique par le biais de la publication d'un certain nombre de guides et de recommandations fixant les principes à respecter dans le choix d'architecture d'un système d'information, par exemple. Je précise qu'un certain nombre de ces guides ont été élaborés à destination des acheteurs publics, afin de les accompagner dans la définition des exigences de cybersécurité : un guide spécifique a ainsi été rédigé en lien avec la direction des achats de l'État en 2019, afin de fixer des clauses types de cybersécurité à inclure dans des marchés publics.

L'ensemble de ces démarches vise à garantir la cybersécurité, notion qui recoupe d'ailleurs celle de souveraineté numérique, mais sans se confondre complètement avec elle.

Notre rôle de conseil renvoie également à notre collaboration, en voie de renforcement avec la direction interministérielle du numérique (Dinum), qui vise à fixer les grandes orientations du numérique de l'État au sens large, notamment au travers de la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État dite « cloud au centre ».

Au-delà de ce rôle de conseil, nous avons vocation à éclairer les choix pour identifier les solutions de qualité et de confiance que nous recommandons, pour certains cas d'usage, à l'État ou aux entreprises. Dans ce cadre, nous nous basons sur des visas de sécurité, qui recouvrent un certain nombre de labels de certification et de qualification applicables à la fois à des produits - pare-feu, logiciels -, mais également à des services d'audit, de détection et de cloud. La qualification SecNumCloud est justement l'un de ces visas de sécurité, définie spécifiquement sur les prestations de cloud.

Je précise que ces cadres de certification et de qualification ne constituent pas des obligations, sauf cas particulier. D'une part, ils relèvent d'une action volontaire des développeurs ou des prestataires de services qui choisissent de se soumettre à une évaluation exigeante, à leurs frais, avec un risque d'échec significatif ; d'autre part, le choix de recourir à une solution couverte par un visa de sécurité n'est pas imposé aux acheteurs, mais recommandé.

Nous l'imposons cependant dans quelques rares cas fixés par la loi : les opérateurs d'importance vitale sont ainsi soumis à certaines obligations dans le recours à des prestations de détection ou d'audit, qui doivent être qualifiées par l'Anssi ; les administrations, quant à elles, doivent se conformer à des exigences en matière de signature électronique et d'identité numérique. Dans le domaine du cloud, la loi Sren va élargir le champ et donner plus de force aux orientations contenues dans la circulaire « cloud au centre ».

Au risque de la marteler, la finalité de ces qualifications et de ces visas de sécurité est la cybersécurité et non pas la souveraineté en tant que telle, les dispositifs n'étant pas réservés à des fournisseurs français ou européens, sauf si une bonne raison le justifie, liée à la cybersécurité : c'est le cas pour la qualification SecNumCloud. Pour autant, dans la pratique, le catalogue de solutions qualifiées par l'Anssi est principalement français et européen.

M. Simon Uzenat, président. - Disposez-vous d'un pourcentage précis ?

M. Vincent Strubel. - Il est compris entre 80 % et 90 % des solutions, mais nous pourrons affiner ce chiffre.

Toujours au sujet de ces visas de sécurité, je précise que nous portons un niveau d'exigence élevé, car notre plus-value réside dans notre capacité à définir les standards permettant de répondre à des attaquants de niveau étatique.

Notre dernier rôle en lien avec la commande publique consiste à faire émerger des solutions. Notre action se tourne naturellement vers l'écosystème national de fournisseurs privés de solutions de cybersécurité, en veillant à bien séparer les rôles puisqu'il est exclu d'être à la fois juge et partie : les équipes qui délivrent des visas de sécurité ne sont pas les mêmes que celles qui font le lien avec cet écosystème et la politique industrielle au sens large.

Nous intervenons en partenariat avec les acteurs de la politique industrielle, qu'il s'agisse du secrétariat général pour l'investissement (SGPI) dans le cadre du plan France 2030, de la direction générale des entreprises (DGE), en lien avec les comités stratégiques de filière « Industries de sécurité » et « Numérique de confiance », ou encore des campus cyber, qui sont un nouvel espace de rencontre entre les offreurs et les bénéficiaires. Des dispositifs spécifiques dédiés aux visas de sécurité ont été mis en place, par exemple avec l'aide de la DGE et de Bpifrance pour accompagner des petites et moyennes entreprises (PME) vers la qualification SecNumCloud, pour la deuxième année consécutive. Celui-ci a rencontré un franc succès, avec 27 bénéficiaires cette année, contre 21 bénéficiaires l'an dernier.

Par ailleurs, nous menons des discussions avec les fonds d'investissement, afin d'encourager les placements dans des solutions d'avenir dans le domaine de la cybersécurité, en restant prudents et attachés à notre rôle de service public.

Dans le prolongement de cette politique de développement des offres de confiance, nous veillons aussi, en lien avec la direction des achats de l'État et l'Union des groupements d'achats publics (Ugap), au bon référencement des solutions dans les différents catalogues, en particulier de celles qui disposent d'un visa de sécurité, mais plus généralement des solutions françaises.

J'en viens à la directive NIS 2, qui va créer une forte demande de cybersécurité : celle-ci doit naturellement bénéficier en priorité aux acteurs nationaux et européens, mais pas nécessairement par la contrainte. Nous nous efforçons de saisir autant que possible cette opportunité en travaillant avec l'écosystème des développeurs et des prestataires de services nationaux afin que les offres répondent aux besoins ; mais aussi avec les acheteurs, avec l'objectif de définir des clauses spécifiques qui soient applicables par des acheteurs publics, et notamment par les collectivités, qui représenteront une part significative du champ d'application de cette directive.

Pour en venir au cloud, qui est au coeur de vos préoccupations, la conviction de l'Anssi n'a pas varié sur le fait qu'il existe des besoins spécifiques pour le recours au cloud à des hauts niveaux de sécurité, et que certains cas d'usage ne peuvent aller dans le cloud qu'à la condition d'apporter des garanties élevées de cybersécurité, garanties qui ne sont pas nécessairement données par les leaders du marché eux-mêmes ou des solutions sur étagère.

Ce postulat a conduit à la définition de la qualification SecNumCloud, que Guillaume Poupard a déjà évoquée avec vous. SecNumCloud est pour nous le référentiel qui fixe un niveau d'exigence en matière de cybersécurité élevé. Il porte des exigences techniques qui ne sont pas satisfaites par les leaders du marché ; des exigences en matière organisationnelle qui impliquent de clarifier les rôles au sein de l'organigramme du prestataire en termes de relations contractuelles avec le client ; et enfin, ce qui est souvent mis en avant mais ne représente qu'une des 55 pages du référentiel, des exigences sur le droit applicable aux données, qui ne peut être que le droit de l'Union européenne. Autrement dit, le droit extraterritorial est exclu, ce qui permet d'empêcher des acteurs étrangers non européens d'accéder aux données.

Ce dispositif est porté par la conviction que ces exigences forment un ensemble cohérent et indissociable, et qu'il est impossible, en matière de cybersécurité, de séparer les exigences techniques des exigences liées au droit applicable ou de celles organisationnelles : se contenter d'exigences techniques très élevées sans se soucier des enjeux juridiques n'aurait pas plus de sens que d'équiper une maison d'une porte blindée, tout en laissant les fenêtres ouvertes.

Je précise qu'il n'existe pas, selon nous, de contre-mesures techniques permettant de se protéger du droit à portée extraterritoriale : si le chiffrement, la localisation des données et l'anonymisation compliquent peut-être les choses, elles ne rendent pas impossible la captation des données en vertu du droit applicable.

Il n'existe pas plus de contre-mesures de nature contractuelle. Un prestataire américain - ou chinois d'ailleurs - qui promettrait de ne jamais communiquer vos données à une autorité de son pays - qu'il s'agisse d'un juge ou d'un service de renseignement - vous promettrait en fait d'aller en prison à votre place. Je pars du principe qu'on ne peut pas le croire, car il n'a aucun intérêt à le faire.

M. Simon Uzenat, président. - D'après les différents témoignages que nous avons pu recueillir, le fait d'exiger l'immunité aux législations extraterritoriales peut être inscrit dans les cahiers des charges des marchés publics.

M. Vincent Strubel. - La manière dont est rédigé le référentiel de SecNumCloud offre des garanties qui nous semblent solides sur ce point, avec des critères d'implantation et de capitalisation.

M. Simon Uzenat, président. - La qualification SecNumCloud paraît opportune, mais l'enjeu de la sécurité est peut-être à dissocier de celui de l'immunité aux législations extraterritoriales, qui devrait, selon nous, être généralisée.

M. Dany Wattebled, rapporteur. - Vous venez d'indiquer qu'une société étrangère - américaine ou chinoise - ne pourrait pas s'opposer à une demande visant à transmettre des données à une autorité de son pays d'origine : il n'existe donc pas de garantie de sécurité sur les données stockées sur le cloud d'un hébergeur étranger. Qu'en est-il avec SecNumCloud ?

M. Vincent Strubel. - SecNumCloud garantit contre la captation par le droit extraterritorial : l'une des fortes exigences de ce référentiel consiste à garantir que les données placées dans un cloud SecNumCloud ne sont soumises qu'au droit de l'Union européenne, à l'exclusion de tout autre.

M. Dany Wattebled, rapporteur. - Vous avez ajouté qu'il est difficilement envisageable qu'un acteur étranger aille en prison volontairement, en refusant de communiquer des données aux autorités dont il dépend.

M. Vincent Strubel. - J'ai simplement indiqué que seul un prestataire européen peut être qualifié SecNumCloud et qu'il n'existe aucune autre manière, en l'état actuel des possibilités techniques, de se prémunir d'une obligation d'accès qui serait fondée sur un droit extraterritorial.

M. Dany Wattebled, rapporteur. - Microsoft, par exemple, ne peut pas garantir l'absence de transfert de données vers l'extérieur, et ne peut donc pas être qualifié SecNumCloud.

M. Vincent Strubel. - C'est le fondement des projets comme Bleu, qui consistent à faire héberger la technologie Microsoft par des prestataires français, qui satisfont, dans notre analyse, aux critères de SecNumCloud mais posent d'autres questions en termes de dépendance technologique. Cet aspect ne relève toutefois pas du champ de SecNumCloud, et cette question pourrait se poser au sujet d'autres technologies, comme la virtualisation.

Si une technologie - qu'il s'agisse de Microsoft, de Google ou d'une autre entreprise étrangère - est hébergée par un acteur européen, nous pensons que cette solution offre un bon niveau de garantie sur le fait que l'acteur concerné ne sera pas soumis au droit américain sans voie de recours.

Pour répondre à la question sur la dissociation de la sécurité et de l'immunité au droit extraterritorial, j'ai rappelé que des exigences techniques de niveau élevé n'auraient guère de sens si elles ne trouvaient pas un prolongement dans le domaine du droit. Symétriquement, du point de vue des enjeux de cybersécurité, il n'y a guère de sens à porter une exigence de soumission exclusive au droit européen sans apporter parallèlement des garanties techniques d'un niveau élevé. Dans la réalité, la majorité de la captation des données de nos collectivités, établissements de santé, compagnies d'assurances et entreprises résulte de cyberattaques, basées sur des moyens techniques de contournement des dispositifs de cybersécurité...

M. Simon Uzenat, président. - Ce point revient régulièrement dans les auditions que nous conduisons : plusieurs paramètres doivent être pris en compte, dont la sécurité, ce dont nous sommes parfaitement conscients.

Il nous a été confirmé que l'idée selon laquelle les champions américains seraient les seuls à offrir un niveau de sécurité optimal est fausse, et que le niveau de maturité des opérateurs français et européens est aujourd'hui équivalent à celui de leurs homologues américains. Par conséquent, il est possible de graduer les niveaux de sécurité.

Lorsque j'ai indiqué qu'il fallait dissocier le sujet de l'immunité aux législations extraterritoriales de la question de la sécurité, je n'ai pas souhaité signifier que nous ne considérions pas la sécurité, mais que nous pourrions envisager d'exiger une immunité aux législations extraterritoriales sans nécessairement recourir à la qualification SecNumCloud ; certains acheteurs publics nous ont en effet indiqué que cette qualification n'était peut-être pas nécessaire dans un certain nombre de cas.

Nous tenons en fait à éviter l'écueil qui consisterait à donner l'impression qu'une sécurité maximale ne pourrait être garantie qu'en recourant à SecNumCloud ou à des champions américains. Nous considérons que les préoccupations liées à l'hébergement des données, y compris la sécurité, sont bien prises en compte par les acheteurs publics et les opérateurs économiques de la filière.

M. Vincent Strubel. - Les acteurs nationaux et européens peuvent en effet apporter un très bon niveau de sécurité technique, mais le rôle de conseil de l'Anssi implique de le vérifier systématiquement, car nous ne pouvons pas partir du postulat qu'un acteur européen apporte par nature les garanties requises. C'est là que réside la plus-value de la démarche basée sur le visa de sécurité, puisqu'un acteur indépendant procède à des vérifications concrètes et ne se contente pas de faire confiance à un discours marketing.

Par ailleurs, je confirme que la vocation du référentiel SecNumCloud est d'apporter un niveau élevé de sécurité : un opérateur d'importance vitale a ainsi vocation à placer ses données dans un cloud ayant obtenu cette qualification et offrant une résistance suffisante face à des acteurs qui s'appuient à la fois sur des leviers juridiques extraterritoriaux et sur de très bonnes capacités techniques.

Des niveaux intermédiaires de sécurité sont bien sûr envisageables, mais, une fois encore, exiger une exposition exclusive au droit européen n'a pas de sens sans l'assortir en parallèle de vérifications techniques. Il est exact qu'un tel choix peut avoir du sens du point de vue de la politique industrielle, mais celle-ci ne relève pas de mon domaine de compétences.

Nous portons ces sujets au niveau européen, avec justement cette perspective de disposer d'une graduation des exigences, avec, par exemple, un niveau élevé - tel que SecNumCloud - et un niveau substantiel.

Nous portons auprès de nos partenaires européens la conviction selon laquelle nous devons couvrir non seulement les questions techniques, mais également celles qui sont relatives au droit applicable. Or cette idée ne fait pas consensus, et s'est même heurtée à différentes formes d'opposition, qui sont pour partie des procès d'intention. Il nous a ainsi été reproché de vouloir faire du protectionnisme - un mot tabou dans certains cercles- ou d'être irréalistes compte tenu de l'écart entre le niveau technique des acteurs européens et celui des entreprises américaines ou chinoises, ce qui est faux, je le répète, mais ancré dans certains esprits. En outre, des acteurs américains ont bien évidemment réagi négativement.

Après être arrivés à un point de blocage en 2024, ces débats reprennent désormais dans un contexte géopolitique différent, ce qui me conduit à faire preuve d'optimisme pour l'avenir et sur le besoin assez largement ressenti, à l'échelon européen, de mieux maîtriser nos dépendances numériques. Je pense qu'il s'agit d'un sujet sur lequel nous allons travailler avec nos partenaires dans le cadre de la nouvelle mandature européenne.

En conclusion, l'Anssi a récemment publié le bilan de son utilisation des 176 millions d'euros qui lui ont été alloués dans le cadre du plan de relance. Elle a ainsi mis sur pied des parcours de cybersécurité qui ont permis à 950 entités publiques - essentiellement des collectivités - d'être accompagnées dans un diagnostic de cybersécurité et dans une démarche de sécurisation.

Le reste de l'enveloppe a été consacré, dans le cadre d'appels d'offres, à l'équipement en solutions de cybersécurité. Cette action a été couronnée de succès, puisqu'elle a abouti, dans 80 % des cas, à un recours à des solutions françaises, qu'il s'agisse de prestataires ou de solutions logicielles.

De surcroît, elle a permis de mobiliser un large tissu d'acteurs - y compris des très petites entreprises (TPE) - sur l'ensemble du territoire, outre-mer compris, avec à la fois une satisfaction des bénéficiaires et un véritable impact sur le niveau de sécurité. J'ai d'ailleurs la conviction que nous avons sauvé des hôpitaux grâce à ces parcours de cybersécurité.

M. Dany Wattebled, rapporteur. - Le fait que vous ne disposiez pas de pouvoir de contrainte, mais simplement d'un rôle de conseil, me renforce dans ma conviction qu'il n'y a pas de pilote dans l'avion de la cybersécurité et que la coordination fait défaut dans ce domaine.

Concernant SecNumCloud, je note que le niveau technique est excellent, mais que l'application d'un droit extraterritorial demeure un obstacle.

Vous avez en outre indiqué avoir encouragé le choix de solutions françaises, mais des écrits et des traces des échanges sont-ils disponibles ? Vous avez sans doute discuté avec les personnes qui ont pris la décision d'héberger le Health data hub chez Microsoft, et avez probablement été partie prenante dans le dossier de Polytechnique, qui a fait héberger des données sensibles.

Il nous serait en effet utile de consulter ces échanges, afin de déterminer si les sociétés françaises ont été mises en avant, car on peut avoir l'impression que nous ne sommes pas capables, à la différence des Américains, d'aider nos jeunes start-ups.

La période actuelle est marquée par un léger revirement dans la mesure où nous sommes désormais engagés dans une guerre économique avec les États-Unis, ce qui conduit à s'interroger davantage sur les données sensibles. Pour en revenir au cas de Microsoft, on a l'impression que les ministères chargés de la stratégie numérique se sont défaussés sur l'Ugap : celle-ci a retenu cette entreprise, qui semble avoir été favorisée. À votre avis, des sociétés françaises auraient-elles pu être retenues à la place de Microsoft ?

M. Vincent Strubel. - Nous sommes bien le pilote dans le domaine de la cybersécurité. L'Anssi est l'autorité nationale de cybersécurité et dispose d'un pouvoir sur les opérateurs d'importance vitale en vertu des dispositions du code de la défense, pouvoir qui sera étendu aux entités régulées au titre de la directive NIS 2 et du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déjà adopté par le Sénat et qui doit être examiné par l'Assemblée nationale.

Certes, nous ne disposons pas d'un pouvoir de contrainte, et j'estime d'ailleurs que nous n'avons pas vocation à imposer aux entreprises des contraintes dans tous les domaines. Dans le cadre dudit projet de loi, nous sommes d'ailleurs tenus à une transposition « sèche » tenant compte des reproches - parfois légitimes- adressés à l'État sur le fait de surtransposer et d'être plus exigeants que nos voisins, ce qui nuit à notre compétitivité.

Quant à SecNumCloud, j'insiste sur le fait qu'il apporte une forte garantie face à l'application d'un droit extraterritorial. L'infaillibilité n'existe pas dans le domaine de la cybersécurité.

M. Dany Wattebled, rapporteur. - Que se passe-t-il concrètement en cas de demande de transfert de données venant du pays d'origine de la société concernée ?

M. Vincent Strubel. - Rien n'empêche à un juge texan ou à un service chinois de se tourner vers OVH pour exiger le transfert de telle ou telle donnée.

M. Dany Wattebled, rapporteur. - Je ne parlais pas des sociétés françaises, mais plutôt de Microsoft.

M. Vincent Strubel. - Cette entreprise ne recevra pas la qualification SecNumCloud.

M. Dany Wattebled, rapporteur. - Cela signifie donc que les données du Health data hub, comme celles qui ont été hébergées à l'extérieur par des établissements d'enseignement supérieur, n'ont pas la labellisation SecNumCloud.

M. Vincent Strubel. - Il ne s'agit pas de prestataires qualifiés SecNumCloud. Plus généralement, ni la stratégie « cloud au centre » de l'État ni la loi Sren ne fixent d'obligation de recourir à la qualification SecNumCloud : elles imposent une obligation d'analyser la sensibilité des données et de recourir à des prestataires disposant de cette qualification dans le cas où les données présentent une sensibilité particulière.

Il est bien question d'un point d'équilibre dans la mesure où de nombreuses données ne revêtent pas de caractère sensible et n'ont pas vocation à être protégées par un prestataire offrant une sécurité particulièrement élevée, cette dernière entraînant un surcoût. Une offre SecNumCloud coûte ainsi plus cher qu'une offre grand public, ce qui est normal. Il faut savoir retenir un niveau de sécurité adapté, ce qui constitue le coeur de notre activité d'analyse des risques.

Pour ce qui concerne l'Ugap, cet organisme tient à jour des catalogues comportant une pluralité de solutions, dont certaines sont proposées par Microsoft : le large recours à des solutions de cette entreprise au sein de l'État est une réalité qu'il ne m'appartient pas de qualifier de « bonne » ou « mauvaise ».

Notre action vis-à-vis de l'Ugap consiste à nous assurer que les solutions que nous recommandons figurent bien dans les choix des acheteurs publics lorsqu'ils consultent ses catalogues, mais je rappelle qu'il n'y aurait pas de sens à les limiter à des prestataires français, car cela ne permettrait pas de couvrir l'ensemble des besoins, et notamment des besoins d'hébergement de données non sensibles.

Je vous laisserai apprécier l'opportunité de modifier la législation, mais, en l'état actuel du droit, il n'existe aucun motif pour exclure des prestataires tels que Microsoft des catalogues de l'Ugap.

M. Dany Wattebled, rapporteur. - Aurait-il été envisageable de retenir des acteurs français pour assurer l'hébergement du Health data hub ?

M. Vincent Strubel. - Cette question ne se prête guère à une réponse simple : lorsque le Health data hub a été lancé en 2019, il aurait effectivement été envisageable de recourir exclusivement à des acteurs français, mais avec un coût beaucoup plus élevé et un délai beaucoup plus long, car des développements supplémentaires substantiels auraient été nécessaires pour des fonctionnalités alors absentes des offres des fournisseurs de cloud français.

En repartant de zéro aujourd'hui, serait-il possible de déployer cette plateforme des données de santé avec des hébergeurs français ? Oui, avec à nouveau des coûts un peu plus élevés et une durée un peu plus longue, mais avec un moindre écart qu'en 2019, car les offres ont progressé dans l'intervalle.

Quant à la perspective de sortir la plateforme des données de santé du cloud de Microsoft pour la faire basculer dans un autre cloud, cette démarche est tout à fait réalisable, mais entraînerait des coûts : il faut se garantir des discours simplistes en matière de réversibilité et de portabilité, car de nouveaux développements s'imposeront, une migration de ce type nécessitant un à deux ans de travail, ce qui est loin d'être neutre.

M. Simon Uzenat, président. - Vous n'en êtes en rien responsable des raisonnements de court terme qui ont pu être suivis, et nous interrogerons les ministres à ce sujet. En réalité, des économies de court terme peuvent entraîner des dépenses plus lourdes sur le moyen et le long terme : vous avez évoqué le cas du projet Bleu avec Microsoft, et votre prédécesseur nous a rappelé hier qu'une éventuelle rupture des liens technologiques entre les États-Unis et l'Europe aboutirait à un effondrement de la technologie en question en quelques semaines : on imagine les coûts nécessaires pour pallier ces problèmes, qui seraient évidemment très lourds.

La question qui nous est donc posée nous renvoie aux choix qui ont été faits pour structurer ces filières et les accompagner dans leur développement. Vous avez parlé de l'émergence de solutions et il est peut-être nécessaire d'accepter d'investir massivement au début, tant pour la puissance publique que pour les acteurs économiques, afin d'atteindre ensuite une souveraineté qui nous permettra non seulement de maîtriser les systèmes, mais également d'en réduire les coûts.

Nous ne sommes pas opposés à la transmission de données à un pays étranger, à condition que celle-ci s'opère dans un cadre juridique ouvert, classique, qui respecte les droits de la défense. La législation extraterritoriale est problématique, car elle permet à des puissances étrangères de capter des données sans en informer les propriétaires, mettant ainsi en danger les droits démocratiques les plus élémentaires. L'Ugap doit bien sûr proposer des solutions sécurisées, mais celles-ci doivent être immunes aux législations extraterritoriales. Je le répète : ce n'est pas de votre responsabilité, c'est un enjeu politique.

Mme Catherine Morin-Desailly. - Vous l'avez dit vous-même : lorsque la décision de confier à Microsoft la gestion de la plateforme des données de santé a été prise, d'autres solutions étaient possibles, même si celles-ci auraient coûté plus cher et pris plus de temps. C'était donc un choix politique ; la stratégie industrielle n'a pas été au rendez-vous.

Résultat : nous déplorons aujourd'hui un manque d'autonomie stratégique. La crise sanitaire a mis en évidence notre dépendance à l'informatique en nuage. La situation est la même que pour l'électricité ou le gaz, pour lesquels les prix sont fixés par des acteurs extra-européens.

Le rôle de l'Anssi et de la Commission nationale de l'informatique et des libertés (Cnil) est fondamental : les politiques publiques doivent s'appuyer sur l'expertise de ces deux autorités de régulation indépendante.

Votre rôle a été renforcé par le projet de loi transposant la directive NIS 2, qui doit encore être définitivement adopté par le Parlement. Lors de son examen au Sénat, j'avais défendu un amendement insistant sur l'importance de profiter de cette occasion pour que la filière puisse se développer, et, partant, de renforcer notre autonomie stratégique. Comment travaillez-vous avec la Dinum et les ministères concernés pour utiliser la commande publique comme un levier ?

L'Anssi est citée dans le projet de décret d'application de l'article 31 de la loi Sren. Sa rédaction est alambiquée, à tel point que l'on a l'impression que tout est fait pour ne pas recourir à des solutions françaises ou européennes pour héberger les données sensibles. Qu'en pensez-vous ?

Le décret énumère un certain nombre de critères : le besoin fonctionnel auquel l'offre est en mesure de répondre - cette notion me semble d'ailleurs assez vague -, les conditions financières, les conditions opérationnelles techniques ou les conditions de réversibilité, entre autres. Ne pensez-vous pas que la sécurité devrait primer les conditions financières ? Celle-ci ne devrait-elle pas être une condition préalable et exclusive ?

Enfin, vous nous avez indiqué que Microsoft n'obtiendrait pas la certification SecNumCloud. Qu'en est-il de l'offre de Bleu, qui comporte des technologies de Microsoft, associées à celles d'Orange et de Capgemini ? N'est-ce pas là un montage permettant à Microsoft de continuer à travailler avec l'État ?

M. Jean-Luc Ruelle. - Je rejoins les réflexions de mes collègues. Bien que la menace cyber soit désormais reconnue, sa traduction concrète dans les marchés publics semble insuffisante. Une étude de l'Observatoire des achats responsables montre que moins de 15 % des appels d'offres numériques publics comportent des clauses spécifiques et pondérées liées à la cybersécurité. Cela crée un déséquilibre et fournisseurs les plus exigeants et rigoureux, souvent français, qui offrent des garanties supérieures, ne sont pas favorisés dans les appels d'offres. Les critères de cybersécurité sont-ils aujourd'hui suffisamment intégrés dans les appels d'offres publics ? Sinon, quelle évolution recommandez-vous ?

Je pense que SecNumCloud est une initiative très positive. Cependant, j'aimerais en savoir davantage : quel est le nombre d'entreprises certifiées ? Quelle place occupent ces dernières dans le marché global ?

Il serait également utile d'identifier et de valoriser les bonnes pratiques françaises, comme celles du conseil régional d'Île-de-France, de la métropole de Lyon, de la Caisse nationale d'assurance vieillesse (Cnav) ou de l'Ugap, qui ont mis en place des marchés publics intégrant ces critères de souveraineté et de cybersécurité. Ces initiatives semblent dispersées, sans mutualisation ni doctrine nationale. Peut-être un pilotage permettant de tirer des enseignements de ces expériences fait-il défaut. De même, quels enseignements pouvons-nous tirer des démarches structurées de l'Espagne et de l'Allemagne en matière de cybersécurité ?

M. Vincent Strubel. - Une remarque préalable : l'Anssi n'est pas une autorité indépendante, mais un service du Premier ministre ; elle dépend donc directement du pouvoir exécutif, compte tenu du caractère éminemment régalien des sujets que nous traitons. La coopération avec la Cnil est efficace, dans le respect des rôles de chacun.

Je ne sais pas si la certification SecNumCloud sera ou non accordée à Bleu : je ne préjugerai pas de l'évaluation qui sera menée. Toutefois, rien ne s'y oppose selon notre analyse, dans la mesure où le montage capitalistique associant Capgemini et Orange pour exploiter la technologie de Microsoft est conforme, sur le papier, aux exigences de SecNum Cloud. Dans notre analyse, la technologie de Microsoft tournant dans un cloud appartenant à Bleu - on pourrait dire la même chose de S3NS avec la technologie de Google - ne sera pas soumise à la captation au titre du Cloud Act ou de la loi Fisa (Foreign Intelligence Surveillance Act). Nous avons régulièrement procédé à une étude de ces textes depuis leur parution.

Mme Catherine Morin-Desailly. - Pourriez-vous nous transmettre vos analyses, s'il vous plaît ?

M. Vincent Strubel. - Le Cloud Act ne s'impose pas qu'aux opérateurs de cloud mais à tout opérateur de solutions de communication électronique, y compris WhatsApp, par exemple. Il s'applique, comme le reste de la législation extraterritoriale américaine, à des acteurs qui sont dépositaires des données ou qui en ont le contrôle - en anglais, custody or control of data. Dans le montage prévu pour Bleu, Microsoft fournit la technologie, mais n'a pas accès aux données, qui sont sous le contrôle exclusif d'acteurs européens. Cela permet de cocher la case de l'immunité aux droits extraterritoriaux.

Cependant, cela ne remplit pas l'objectif d'indépendance vis-à-vis des technologies américaines. Il faut bien sûr s'interroger sur notre dépendance quasi exclusive à un certain nombre de technologies, mais c'est un autre sujet, distinct de SecNumCloud et, plus largement, de la cybersécurité.

Même dans un cloud purement français, on retrouve des technologies américaines, comme des machines virtuelles reposant sur le logiciel VMware. L'expérience a montré que les fluctuations des coûts de licence pouvaient être problématiques. Par exemple, lorsque Broadcom a racheté VMware, les coûts de licence ont explosé. Résultat : tous les acteurs en ont été affectés, y compris les fournisseurs de services de cloud français. Ces derniers mettent en oeuvre un arsenal de technologies, mais ils ne sont pas non plus, par nature, totalement protégés de la dépendance à certaines technologies.

M. Simon Uzenat, président. - Nous entendons ces arguments, mais nous ne les considérons pas comme valables. Nous nous intéressons aux méthodes nous permettant de protéger efficacement nos données.

Plusieurs personnes auditionnées nous ont dit que les alternatives ne cochaient pas nécessairement toutes les cases : nous poursuivrions donc une chimère. Or nous restons convaincus qu'il est possible de réunir toutes les conditions nécessaires à la protection de nos données.

J'interprète vos propos comme une invitation à exercer encore plus fortement notre devoir de vigilance, car, même si telle n'est pas votre intention, vous laissez entendre que compte tenu des nombreux trous dans le gruyère, il est vain de viser la perfection. Or le sujet est très sensible : les données sont devenues l'actif stratégique par excellence. Il faut donc mettre tous les moyens pour les protéger efficacement.

M. Vincent Strubel. - Nous sommes largement d'accord, loin de moi l'idée de tenir un discours défaitiste.

SecNumCloud protège les données contre des accès extraterritoriaux, mais ne permet pas de gérer une difficulté plus vaste, à savoir la dépendance à des technologies non européennes ou non françaises. Je ne dis pas ce que SecNumCloud devrait être, mais ce qu'il est aujourd'hui. Nous sommes largement dépendants, je le regrette. Comment y remédier ? Je n'ai pas de solution clés en main. C'est un chantier de long terme qui aura un coût.

J'en viens au projet de décret d'application de la loi Sren, sujet sur lequel je serai prudent en ma qualité de fonctionnaire des services du Premier ministre, ne participant pas aux arbitrages à son sujet. Cela dit, la discussion se poursuit et va au-delà de la version qui a été rendue publique jusqu'à présent, avant son examen par le Conseil d'État.

Définir des exceptions est extrêmement complexe, car une migration vers un nouveau cloud est un processus qui ne se fait pas du jour au lendemain ; en outre, cela a un coût. Il ne faut pas tomber dans le travers inverse, que j'entends beaucoup, autant dans le secteur privé que dans le secteur public, consistant à dire : « Nous voulons migrer vers un cloud souverain, mais seulement quand celui-ci fera exactement la même chose que le cloud de Microsoft, d'Amazon ou de Google, avec le même niveau de performance, les mêmes interfaces et le même coût, voire moins cher si possible. » Cela revient à dire de manière très alambiquée : nous migrerons quand les poules auront des dents. Migrer vers un cloud de confiance européen ou français a un coût, certes moindre qu'auparavant, mais qui nécessite un travail intense de redéveloppement, de spécification, et peut-être de redéfinition d'architecture de différentes solutions. Ce coût est justifié dans beaucoup de cas, mais cela suppose une décision : cela ne peut pas être décrété à l'instant t, cela doit s'inscrire dans une stratégie de long terme.

M. Dany Wattebled, rapporteur. - Vous parlez de coût : à combien le chiffrez-vous ? Si celui-ci s'élève à plusieurs centaines de milliards d'euros, je peux comprendre... À partir de quel montant jugez-vous le coût important ?

M. Vincent Strubel. - Je serais bien incapable de vous formuler une réponse générique. Les projets complexes ayant migré d'un cloud à un autre, tant dans le secteur privé que le secteur public, sont des projets de développement logiciel et d'intégration ayant mobilisé l'essentiel d'une équipe informatique pendant un à deux ans. Leur coût est chiffrable, mais il dépend de nombreux facteurs.

En tout état de cause, un tel projet suppose une décision préalable - que celle-ci émane ou non d'une autorité politique - s'inscrivant dans une stratégie. En la matière, l'État est sans doute plus exemplaire que les acteurs du secteur privé ou que ses voisins européens. La circulaire « cloud au centre » est une exception dans le paysage européen et international, où tous les acteurs ont plutôt privilégié le cloud first : on met tout dans le cloud sans se préoccuper du reste.

Mme Catherine Morin-Desailly. - Certes, mais cela ne doit pas nous exempter du travail que nous menons actuellement, en posant comme objectif politique essentiel l'acquisition de cette autonomie stratégique. Vous évoquez un problème de coût et de temps. Ainsi, nous mesurons à quel point grande est la responsabilité de ceux qui, à l'époque, ont privilégié la facilité du recours à une solution existante plutôt qu'à une réflexion stratégique. Le politique est responsable, c'est pourquoi nous auditionnerons les personnes concernées.

Stéphanie Combes, la directrice de la plateforme des données de santé, nous a indiqué avoir toujours veillé à la réversibilité de son hébergement ; dès lors, j'espère que nous pourrons migrer facilement.

M. Vincent Strubel. - Avec toutefois ce petit bémol que je rappelais tout à l'heure : la réversibilité signifie que vous pouvez récupérer le code logiciel et les données. Mais pour les faire fonctionner dans un autre cloud, il sera nécessaire de redévelopper certains éléments. Certes, la réversibilité est garantie - heureusement, d'ailleurs ! -, mais cela ne rend pas pour autant la transition naturelle. La réversibilité permet d'engager la transition, mais, je le répète, elle a un coût.

M. Simon Uzenat, président. - Mme Combes nous a indiqué que le plan de réversibilité était prêt, mais que sa mise en oeuvre était encore lointaine.

M. Vincent Strubel. - Je ne pourrais pas vous en dire plus, car je ne suis pas responsable de la plateforme des données de santé et je ne connais pas les arbitrages précis qui ont été rendus ; je vous renvoie à ses propos.

Je voulais insister sur l'exemplarité de l'État en la matière, non par vantardise, mais pour souligner l'importance de l'éducation et de la formation des entreprises sur cette question. Il est essentiel de les sensibiliser à l'importance de la protéger les données. J'ai rencontré de grands patrons d'entreprises stratégiques qui me disent : « Ce n'est pas mon problème, je place toutes mes données dans un cloud non européen. » Or ceux-ci devraient se poser la même question que l'État - cela a débouché sur la circulaire « cloud au centre ». Certes, la réponse ou les paramètres seront peut-être différents, mais il y a un travail à mener sur l'identification des données les plus sensibles et des cas d'usage ainsi que sur une architecture de cloud hybride.

Aujourd'hui, aucun acteur de taille suffisante ne devrait se tourner uniquement vers un seul fournisseur de cloud. Tout le monde devrait avoir un portefeuille mêlant plusieurs fournisseurs, là aussi pour des raisons de dépendance et d'enjeux financiers. J'ai la conviction qu'il existe une place pour un cloud de très haut niveau de sécurité - SecNumCloud -, et une place pour d'autres clouds, avec des niveaux de sécurité moins élevés, parce que tout le monde a besoin de mener des expérimentations et d'agir rapidement ; la sécurité de niveau maximal ne se justifie pas dans tous les cas.

Il y a encore des progrès à faire pour traduire les exigences de cybersécurité dans les appels d'offres. Nous avons toutefois avancé sur ce sujet. Notre travail vise à armer les acheteurs publics en leur fournissant des clauses types, en les formant, entre autres. Nous veillons aussi à sensibiliser les décideurs : laisser cette responsabilité aux seuls acheteurs revient à ne pas traiter le problème au bon niveau.

M. Jean-Luc Ruelle. - Quelle est la proportion de marchés publics incluant des clauses de cybersécurité ?

M. Vincent Strubel. - Je ne prétends pas avoir de vision exhaustive en la matière. Nous travaillerons sur ce volet à l'occasion de la transposition de la directive NIS 2 : nous veillerons à ce que l'acheteur puisse facilement respecter les exigences prévues par la directive.

Nous travaillons aussi avec l'écosystème des acteurs français. Nous partageons le même constat que nombre d'acteurs privés : notre pays compte énormément de pépites en matière d'offre de cybersécurité. Toutefois, le paysage est morcelé : c'est là l'une des limites actuelles. Les solutions pour régler ce problème ne proviendront pas uniquement de l'État.

Les grandes entreprises internationales, elles, proposent des solutions complètes. On le constate en consultant le Magic Quadrant de Gartner. En trois clics, vous accédez à tout ce dont vous avez besoin : le pare-feu, le service de détection, les sauvegardes, le conseil, etc. Si vous voulez recourir à une offre française ou européenne, vous êtes obligé de vous tourner vers une multitude de PME, qui proposent certes des solutions de très grande qualité, mais qui ne sont pas rassemblées au sein d'un guichet unique. Les choses progressent, mais nous devons veiller à proposer une offre de services cohérente et combinée. Cela ne passe pas nécessairement par une consolidation de capital et l'État ne peut pas dicter aux entreprises ce qu'elles doivent vendre et comment elles doivent le vendre. Il peut toutefois encourager le mouvement, par le biais des comités stratégiques de filière « Industries de sécurité » et « Numérique de confiance », qui organisent le dialogue entre l'État et les acteurs privés, mais aussi grâce aux campus cyber, qui permettent à tous les acteurs de se retrouver et d'échanger.

Les marchés publics obéissent à des critères visant à garantir la transparence et l'équité de traitement. Mais les entreprises ne connaissent pas nécessairement les raisons de leur éviction lorsqu'elles ne sont pas retenues, au-delà de la note obtenue. Les campus cyber permettent d'organiser une forme de dialogue afin que les entreprises comprennent les raisons de leur échec ; elles seront ainsi plus compétitives lors d'un prochain marché public.

Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.

La réunion est close à 17 h 45.

La réunion est ouverte à 17 h 45.

Audition de M. Gaël Menu, directeur général de SCC France, et de Mme Sylvie Wethli, directrice commerciale de SCC France, entreprise titulaire du marché « multi-éditeurs » de l'Union des groupements d'achats publics (Ugap)

M. Simon Uzenat, président. - Nous poursuivons nos travaux sur la commande publique en matière de services numériques en nous intéressant maintenant au principal vecteur en la matière : le marché dit multi-éditeurs de l'Ugap, qui offre à tous les acheteurs publics un accès direct aux produits de 2 715 éditeurs de logiciels, dans un cadre juridique sécurisé par la centrale d'achat. En effet, un acheteur qui recourt à une centrale d'achat est considéré comme ayant respecté ses obligations de publicité et de mise en concurrence, quel que soit le montant de la dépense en question.

De son côté, l'Ugap a, pour offrir ces prestations à ses clients, passé un marché public ayant pour objet « la commercialisation et l'animation d'une bibliothèque multi-éditeurs » et l'a attribué à l'entreprise SCC France pour une durée de vingt-quatre mois, auxquels s'ajoutent deux reconductions annuelles, soit une durée maximale de quatre ans à compter d'avril 2023.

Si ce marché est très largement plébiscité par les clients de l'Ugap, puisqu'il leur permet d'acquérir aisément des prestations informatiques ne demandant pas de développements particuliers, il fait aussi l'objet de critiques récurrentes, dont nous avons pu prendre la mesure lors de nos auditions : tarifs potentiellement plus élevés en raison des diverses commissions appliquées, qualité de service et accompagnement des acheteurs parfois insuffisants, mais surtout promotion de quelques grands éditeurs internationaux, au détriment des petites et moyennes entreprises (PME) et des acteurs nationaux.

Pour échanger avec nous à ce sujet, nous recevons M. Gaël Menu, directeur général de SCC France, titulaire de ce marché, et Mme Sylvie Wethli, directrice commerciale.

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié.

Je rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances.

Je vous invite à prêter successivement serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »

Conformément à la procédure applicable aux commissions d'enquête, M. Gaël Menu et Mme Sylvie Wethli prêtent serment.

Après une brève présentation de votre entreprise et de son activité, nous aimerions comprendre comment fonctionne le marché multi-éditeurs. Dans quelles conditions sélectionnez-vous les éditeurs qui figurent à votre catalogue ? Quelle est la nature de la relation commerciale que vous entretenez avec eux ? Y a-t-il une rotation régulière entre eux ?

Ce marché a un impact disproportionné sur les conditions d'acquisition de services numériques par les personnes publiques. Leur apportez-vous un appui particulier pour monter en compétence sur le sujet ? Vous arrive-t-il de mettre en avant certains éditeurs plutôt que d'autres pour des raisons commerciales et donc d'orienter la commande publique vers des solutions particulières ?

L'intégration d'un logiciel au marché multi-éditeurs est un véritable levier de développement et une consécration pour le travail d'une start-up. Vous pourrez nous expliquer si vous menez une politique de démarchage actif à leur égard, avec des initiatives pour identifier les dernières innovations et les offrir aux clients de l'Ugap, ou si vous estimez que cela ne relève pas de votre ressort.

Enfin, plus concrètement, êtes-vous satisfait des conditions d'exécution du marché avec l'Ugap ? Ne seriez-vous pas en grande difficulté si vous veniez à perdre le marché, alors que vous êtes dans une situation de dépendance vis-à-vis de lui ? Quels efforts conduisez-vous pour améliorer les relations avec vos clients ?

Si vous estimez que des éléments qui vous sont demandés sont couverts par le secret des affaires, vous pouvez refuser de les fournir dans le cadre de la présente audition publique. Vous devrez toutefois les communiquer par écrit à la commission d'enquête.

M. Gaël Menu, directeur général de SCC France. - Je suis directeur général de la société SCC France depuis le 1^er avril dernier. Je suis accompagné par Mme Sylvie Wethli, directrice commerciale en charge des marchés publics.

SCC France a clôturé son année fiscale à la fin du mois de mars, avec un chiffre d'affaires de 2,950 milliards d'euros, contre 2,7 milliards d'euros l'an dernier.

La société est une entreprise familiale détenue par Sir Peter Rigby et ses enfants, dont le siège social est situé dans le nord de l'Angleterre, à Birmingham.

L'entité française, qui représente 70 % de l'activité du groupe, compte 3 300 salariés, sur un total de 7 700 personnes.

Nous disposons d'un centre de services à Valenciennes, pour nos activités de service desk à destination de nos clients. Voilà quelques années, nous avons racheté l'entreprise lyonnaise Flow Line Technologies, qui héberge les infrastructures de nos clients finaux français, et nous avons une filiale de financement, Rigby Capital.

Nous sommes répartis sur tout le territoire national, avec plus de 14 agences, un siège social à Nanterre et des centres de services à l'international, en Roumanie et en Asie. Nous possédons deux data centers en France, à Paris et à Lyon.

Nous sommes très présents sur le marché des logiciels, tant par le biais du marché multi-éditeurs de l'Ugap que par d'autres marchés. L'entreprise n'est absolument pas en situation de dépendance vis-à-vis de l'Ugap, j'y reviendrai.

Nous développons des activités de revente de logiciels et d'infrastructures, mais aussi de service pour le compte de nos clients, que ce soit en infogérance ou en gestion de proximité.

La totalité de nos salariés est sous contrat français. Nous intervenons au bénéfice des entreprises de taille intermédiaire (ETI), des PME, mais aussi des grands comptes.

Nous bénéficions du label Relations fournisseurs et achats responsables ; nos clients finaux et les différentes centrales d'achat françaises y sont très sensibles. Nous disposons de plusieurs certifications ISO dans de nombreux domaines d'activité - qualité, sécurité, information, environnement.

Nous travaillons en étroite collaboration avec l'Agence nationale de la sécurité des systèmes d'information (Anssi), au sujet notamment du respect du Règlement général sur la protection des données (RGPD), afin d'assurer la sécurité des données de nos clients et de nos utilisateurs.

Dans le cadre du marché multi-éditeurs, nous mettons en oeuvre de nombreuses clauses sociales, avec des heures d'insertion, pour le compte de l'Ugap, principalement sur notre site de Valenciennes ou notre site logistique de Lieusaint, à notre siège à Nanterre et dans nos agences régionales. Nous répondons ainsi aux exigences des grands marchés nationaux et favorisons ainsi la réinsertion de personnes en difficulté.

L'objectif du marché multi-éditeurs est de fournir une prestation de service de distribution pour le compte de l'Ugap. Nous devons promouvoir ce marché auprès des entités publiques et parapubliques ayant accès à la centrale d'achat.

Notre modèle de fonctionnement est simple : nos clients finaux connaissent nos prix et nos marges. Pour des raisons commerciales, je ne divulguerai pas ici le taux d'intermédiation que nous pratiquons. Je peux toutefois vous apporter quelques précisions. Ce taux d'intermédiation comprend notre marge pour piloter le marché et assurer son développement, ainsi que la part destinée à l'Ugap pour promouvoir ses offres auprès de ses adhérents. La contribution fournisseur est destinée à la centrale d'achat : elle l'utilise comme elle l'entend.

M. Simon Uzenat, président. - La contribution fournisseur est-elle intégrée dans le taux d'intermédiation ?

M. Gaël Menu. - Tout à fait. C'est un taux global : le taux de contribution fournisseur est fixe ; il en va de même pour le taux d'intermédiation de SCC.

Mme Sylvie Wethli, directrice commerciale de SCC France. - Il s'agit d'un taux ferme et unique ; il est précisé lors de la réponse à l'appel d'offres.

Le modèle retenu est celui d'un accord-cadre avec des marchés subséquents, comportant chacun un objet et un prix. Chaque marché subséquent regroupe les commandes projet des bénéficiaires, répondant ainsi à leurs besoins spécifiques.

M. Gaël Menu. - Je laisse à Mme Wethli le soin de vous expliquer la façon dont nous sélectionnons les éditeurs et élaborons les offres destinées aux clients de l'Ugap.

Mme Sylvie Wethli. - Lors de la consultation menée par l'Ugap, 1 267 éditeurs figuraient déjà dans le cahier des charges. La centrale d'achat pourra vous fournir des explications sur son processus de sélection ; il s'agit d'éditeurs qui avaient été actifs lors du marché précédent et qui avaient réalisé un certain chiffre d'affaires.

Aux termes du règlement de la consultation et du cahier des clauses administratives particulières (CCAP), il est possible d'intégrer de nouveaux entrants au fil de l'eau, si ceux-ci répondent aux besoins de la sphère publique.

Comment identifie-t-on ces nouveaux éditeurs ? Les bénéficiaires ou les éditeurs s'adressent directement à nous ou à l'Ugap. SCC peut aussi repérer directement de nouvelles entreprises. En outre, nous organisons des événements marketing pour mettre en avant les éditeurs français et les PME, notamment. Nous sommes aussi présents sur les grands salons et valorisons les avantages offerts par ce marché. En tant que spécialistes du software, nous assurons également une veille technologique sur les grandes solutions logicielles. Cependant, le choix de la solution technique revient au bénéficiaire. Un parcours d'expression du besoin est mis en place sur le site de l'Ugap : afin d'éviter tout litige, c'est bien le bénéficiaire qui valide la solution technique préconisée par l'éditeur. Le bénéficiaire peut donc choisir entre plusieurs éditeurs.

M. Simon Uzenat, président. - Je lis sur l'une des diapositives que la décision d'intégration d'un éditeur est adressée par l'Ugap au titulaire. Ainsi, la décision revient à l'Ugap ; est-ce bien exact ?

Mme Sylvie Wethli. - Ce n'est pas tout à fait cela.

M. Simon Uzenat, président. - C'est pourtant ce qui écrit.

Mme Sylvie Wethli. - Cette phrase est extraite du CCAP.

Comment les choses se passent-elles en réalité ? Lorsque nous identifions un éditeur non référencé sur le marché...

M. Simon Uzenat, président. - Est-ce vous qui vous chargez d'identifier l'éditeur ?

Mme Sylvie Wethli. - Ce peut être nous, l'Ugap, le bénéficiaire et l'éditeur, ou intervenir lors des événements auxquels nous participons. Nous nous assurons que le besoin exprimé par le bénéficiaire est réel et que l'éditeur n'est pas référencé.

Une fois ces vérifications effectuées, nous invitons l'éditeur à candidater en ligne sur le site de l'Ugap. Plusieurs informations administratives et financières lui sont alors demandées : son numéro Siret si l'entreprise est française ; son numéro Duns (Data Universal Numbering System) si l'entreprise est étrangère ; ses effectifs ; son chiffre d'affaires ; ses labels éventuels. Une cinquantaine de labels sont référencés auprès de l'Ugap ; certains vont vous intéresser : je pense aux labels de la French Tech, de l'Anssi, de SecNumCloud, entre autres. L'entreprise devra également indiquer si elle bénéficie de financements d'innovation. Il s'agit de vérifier l'impact de la commande publique sur les entreprises de la French Tech et sur les sociétés estampillées comme innovantes.

Une fois ces premiers éléments validés, l'éditeur reçoit une notification lui indiquant que sa première phase de candidature a été acceptée. Il est alors invité à remplir de façon plus exhaustive sa fiche de présentation éditeur, élément essentiel de ce marché. Dans cette fiche, il pourra mettre en avant ses solutions, les éléments le différenciant de ses concurrents, comme ses labels. Une fois ces derniers vérifiés, les logos des labels apparaîtront sur la fiche fournisseur. Ainsi, les bénéficiaires pourront appliquer les critères qui leur conviennent lors de la recherche d'un éditeur : détention d'un label, localisation, utilisation d'une technologie spécifique, etc.

Enfin, nous avons développé un processus d'accompagnement des nouveaux entrants : un webinaire leur est destiné, car ce sont souvent des néophytes de la commande publique. Nous leur apportons des explications sur le marché : ses avantages, mais aussi les rôles et les responsabilités de chacun, ainsi que les obligations propres à la commande publique. Je pense par exemple à l'obligation de produire des procès-verbaux d'attestation de service fait ou aux règles relatives à la facturation. Nous les accompagnons énormément pour leur expliquer comment la commande publique peut être un facilitateur et un accélérateur de leur activité.

M. Simon Uzenat, président. - Une fois celle-ci remplie, la fiche de présentation de l'éditeur qui n'est pas encore référencé est transmise à l'Ugap, si j'ai bien compris.

M. Gaël Menu. - Oui.

M. Simon Uzenat, président. - Votre entreprise est-elle ensuite sollicitée pour se prononcer ? Rend-elle un avis conforme pour valider l'entrée de l'entreprise dans le marché ?

M. Gaël Menu. - Notre intervention porte essentiellement sur les vérifications des labels et de la capacité de l'éditeur à travailler sur le territoire national.

Mme Sylvie Wethli. - Nous élaborons ensuite un contrat de distribution avec l'éditeur, ainsi qu'une fiche RGPD.

M. Simon Uzenat, président. - En quoi consistent ces contrats de distribution ?

Mme Sylvie Wethli. - Nous devons être en mesure de distribuer les offres de cet éditeur.

M. Simon Uzenat, président. - Que voulez-vous dire concrètement ?

M. Gaël Menu. - Nous devons pouvoir vérifier les références que nous proposons. Un catalogue de produits ne doit pas comporter qu'une seule désignation. Il faut des prix différenciés selon les lignes de produits. Les acheteurs publics peuvent avoir recours à plusieurs produits d'un même éditeur : nous veillons à ce que les prix soient respectés et que tout se passe dans les règles.

M. Simon Uzenat, président. - Est-ce l'Ugap qui prend la décision d'intégrer un nouvel éditeur en dernier ressort ?

Mme Sylvie Wethli. - C'est l'Ugap qui propose un réexamen du marché et qui notifie à SCC ce réexamen comportant l'introduction des nouveaux éditeurs.

M. Gaël Menu. - Nous y reviendrons ensuite : nous vous expliquerons le processus de référencement plus en détail. L'Ugap procède à la validation ; celle-ci nous est transmise ; enfin, nous mettons en ligne l'offre du nouvel éditeur.

M. Simon Uzenat, président. - Recevez-vous un courrier de l'Ugap ?

Mme Sylvie Wethli. - Nous proposons les nouveaux éditeurs et la candidature s'effectue en ligne sur le portail de l'Ugap.

M. Simon Uzenat, président. - J'ai bien compris, mais je souhaite savoir si vous recevez un courrier de l'Ugap précisant qu'un nouvel éditeur est autorisé à rejoindre le marché.

Mme Sylvie Wethli. - Cela correspond au réexamen, qui a lieu tous les dix jours : tous les éditeurs dont la candidature a été acceptée en font partie.

L'entrée d'un nouvel éditeur se fait sous l'impulsion de SCC : nous invitons les éditeurs à déposer leur candidature sur le site de l'Ugap. La centrale d'achat examine le dossier comportant les premiers éléments financiers, tandis que SCC se charge d'introduire l'entreprise dans le marché et de rédiger la fiche fournisseur. L'intégration de nouveaux éditeurs résulte donc d'un travail conjoint. Mais c'est bien l'Ugap qui, in fine, est responsable du réexamen du marché et notifie à SCC l'entrée de nouveaux éditeurs.

M. Gaël Menu. - Voici comment se déroule précisément le processus. Première étape : l'entreprise intéressée scanne un QR code pour s'adresser à l'Ugap. Deuxième étape : elle remplit le dossier. Troisième étape : l'Ugap vérifie les informations transmises. Quatrième étape : nous procédons à une double vérification, notamment les labels dont se revendique l'entreprise. Nous indiquons alors à l'Ugap si le dossier nous semble correct ; la centrale d'achat nous précise alors si l'entreprise peut être intégrée au marché.

M. Simon Uzenat, président. - Le mot de « réexamen » n'est pas clair.

M. Gaël Menu. - Il appartient à la terminologie propre à l'Ugap.

M. Simon Uzenat, président. - J'entends bien, mais il n'est pas clair. À la troisième étape, l'Ugap examine le dossier, mais la décision de permettre à un éditeur d'accéder au marché relève de la responsabilité de l'Ugap. Nous interrogerons de nouveau l'Ugap sur ce point.

M. Gaël Menu. - Nous ne disposons pas d'un droit de regard nous permettant de supprimer ou de choisir un éditeur. Cela fait partie du cahier des charges initial de l'Ugap, qui indique la procédure.

Mme Sylvie Wethli. - Nous avons également une équipe d'incubation qui accompagne les nouveaux entrants, souvent des start-ups et des PME. Nous nommons ces collaborateurs business developer ; ils s'occupent des nouveaux entrants le temps de leur apporter l'assistance nécessaire, car entre le moment de la candidature et le premier paiement reçu par ces entreprises, il peut parfois se passer des semaines, voire des mois. Nous assurons une assistance téléphonique et humaine dans ces incubateurs.

M. Gaël Menu. - Nous avons aussi pour objectif de former en interne nos équipes aux solutions proposées par les éditeurs. Une start-up peut ainsi s'adresser directement à plus de 500 personnes qui tous les jours discutent sur le terrain avec des acheteurs publics. Cela facilite et élargit la promotion de leur produit, notamment auprès des collectivités locales.

Mme Sylvie Wethli. - Les grandes entreprises connaissent très bien les mécanismes des centrales d'achat, notamment ceux de l'Ugap. En revanche, les PME et les start-ups les connaissent mal. Nous avons souhaité les accompagner de bout en bout dans le processus de leur achat au sein de l'Ugap en développant un portail dédié, où les entreprises peuvent prendre connaissance de l'intégralité du parcours de l'achat effectué par une personne publique. Toutes les entreprises se demandent où en est leur devis, leur commande, leur facturation, ou si leur fiche relative au RGPD est à jour. Nous leur rappelons aussi qu'elles doivent respecter des certificats d'exclusivité annuels lorsque ceux-ci arrivent à échéance. Nous les tenons par la main pour leur permettre d'accéder dans les meilleures conditions à la commande publique.

M. Gaël Menu. - Nous venons de vous exposer les conditions dans lesquelles nous faisons évoluer l'offre des clients de l'Ugap. Nous sommes là pour faire croître la bibliothèque et rendre un maximum d'éditeurs disponibles pour la commande publique. Très souvent - on ne va pas se mentir -, les clients et les acteurs publics discutent dès le départ avec les éditeurs pour trouver une réponse à leurs besoins. Lorsque les éditeurs ne sont pas référencés dans l'Ugap, ils se tournent alors vers nous. Au départ, dans le cahier des clauses techniques particulières (CCTP) d'origine, l'Ugap demandait que la plateforme réunisse 1 267 éditeurs. Depuis, 52 réexamens ont eu lieu pour permettre à de nouveaux éditeurs d'entrer dans cette bibliothèque, ce qui a permis d'y faire figurer 1 565 éditeurs supplémentaires. Nous en arrivons au chiffre de 2 832 éditeurs que nous mentionnions plus tôt.

Mme Sylvie Wethli. - Il y a très peu de turnover parmi ces entreprises. En tout cas, ni l'Ugap ni SCC ne décident de ces mouvements, qui tiennent plutôt à la vie des entreprises, essentiellement aux fusions-acquisitions et aux cessations d'activité. Depuis le début de notre activité, moins de dix entreprises sont sorties du marché. Il y a beaucoup d'entrants, peu de turnover, et beaucoup d'accompagnement.

M. Gaël Menu. - Le turnover est proche de zéro.

En ce qui concerne les modalités de rémunération de SCC, nous fonctionnons avec un taux d'intermédiation qui comprend la marge de SCC, mais également la partie allouée à l'Ugap pour la promotion de ses offres.

Une autre part de notre rémunération provient des marges arrière que nous reversent les éditeurs. Nous sommes un groupe international, présent en Angleterre, en France et en Espagne. Globalement, une dizaine d'éditeurs, qu'ils soient positionnés sur le secteur public ou privé, acceptent de nous reverser des marges arrière. Nous vous précisons ce point pour vous permettre de vous faire une idée de la marge que nous pouvons dégager.

Si nous atteignons les objectifs annuels que ces éditeurs nous fixent, nous bénéficions des marges arrière ; si ce n'est pas le cas, nous n'en touchons pas. Très souvent, il s'agit d'éditeurs américains, de grandes sociétés multinationales qui nous fixent des objectifs de croissance que nous essayons d'atteindre - nous n'y parvenons pas chaque année. Le secteur public n'est pas le seul concerné : les grands acteurs financiers du secteur privé nous reversent également des marges arrière.

Mme Sylvie Wethli. - En tout cas, notre taux d'intermédiation est connu par les bénéficiaires. Vous faisiez part de prix différents, mais la part de SCC est fixe et ferme pendant l'intégralité du marché. Nous vous la communiquerons. Elle ne varie pas, et correspond aux pratiques du secteur.

M. Simon Uzenat, président. - Les marges arrière ne conduisent-elles pas à privilégier de fait des acteurs pratiquant ce type de rémunération ?

M. Gaël Menu. - Potentiellement, peut-être, mais dans le cas présent, pour le marché multi-éditeurs de l'Ugap, ce n'est pas vraiment le cas. Nous ne sommes pas poussés à favoriser des éditeurs par rapport à d'autres, pour la simple et bonne raison que nos marchés privés permettent de compenser d'éventuelles pertes. Je ne suis pas le seul à détenir la clé des marges arrière : mes homologues anglais et espagnols ont aussi des objectifs, et c'est notre cumul qui nous permet d'atteindre ou pas l'objectif global fixé par certains éditeurs. Ce type de contrat a une dimension internationale. J'ai précisé le nombre d'éditeurs concernés : parmi nos plus de 2 800 éditeurs, seule une dizaine accepte de telles marges.

M. Dany Wattebled, rapporteur. - Mais ce sont de gros éditeurs.

M. Gaël Menu. - Oui. Ce sont des éditeurs mondiaux, souvent américains : Microsoft, VMware Broadcom, etc. Pour Broadcom, les choses se sont d'ailleurs arrêtées du jour au lendemain.

M. Simon Uzenat, président. - Disposez-vous de la ventilation de la propriété capitalistique des 2 832 éditeurs référencés dont nous parlons ? Quelle est la part de sociétés françaises, européennes ou extra-européennes ? Par ailleurs, à l'intérieur de ce marché, pourriez-vous nous présenter la ventilation du chiffre d'affaires en fonction des éditeurs ? J'imagine que les montants sont loin d'être équivalents. Sans entrer dans le secret des affaires durant cette audition, peut-on apprécier la répartition des chiffres d'affaires réalisés au titre du marché multi-éditeurs ?

M. Gaël Menu. -En ce qui concerne les éditeurs français, je tiens à préciser que certains éditeurs étrangers disposent d'un numéro Siret français pour leur filiale française. Ils se considèrent parfois comme des entreprises françaises, voire se déclarent comme des PME - je préfère le dire de manière honnête et transparente. Pour répondre à votre question, nous examinons en détail les 2 567 entreprises qui se déclarent françaises, mais les fonds capitalistiques sont probablement détenus par d'autres entreprises situées à l'étranger. Nous devons faire ce travail de détection.

M. Dany Wattebled, rapporteur. - Le chiffre d'affaires peut surtout varier entre un petit éditeur et Microsoft.

M. Gaël Menu. - Nous mettrons à votre disposition les chiffres que vous demandez. Même si je ne sais pas si ce terme est approprié, le marché que l'Ugap nous a confié pour animer cette bibliothèque multi-éditeurs a pour vocation de permettre un « ruissellement » auprès des petites entreprises françaises. Celui-ci est parfois très important, car les marchés publics ne sont pas toujours accessibles à des PME. En effet, celles-ci ont plutôt vocation à travailler avec le secteur privé, s'imaginant qu'il est plus difficile de répondre à un grand nombre d'appels d'offres. La bibliothèque a vocation à réunir et à centraliser les besoins de nombreux éditeurs.

Il faut aussi tenir compte des délais de paiement de la commande publique, qui peuvent pénaliser les PME. . En tant que grande structure, nous pouvons faire le dos rond et supporter des délais dépassant parfois largement la limite autorisée. Mais nous réunissons notamment beaucoup de petits éditeurs du monde de la santé, qui proposent des solutions dédiées pour les hôpitaux, pour la radiologie ou le circuit du médicament, et qui se retrouvent souvent confrontés à des établissements de santé eux-mêmes en difficulté. Les délais dépassent alors parfois 260 jours. Pour une PME, il est impossible d'attendre aussi longtemps.

L'Ugap a le mérite de disposer d'une manne financière lui permettant d'aider les acteurs publics ; nous pouvons également attendre le règlement de ces factures. Le ruissellement a aussi lieu comme cela. L'Ugap paye très vite ses fournisseurs ; nous faisons de même, ce qui permet à tout le monde de s'y retrouver. Notre chiffre d'affaires, de 3 milliards d'euros en France, fait aussi notre force.

M. Simon Uzenat, président. - Dans les instances politiques, le mot de ruissellement est plutôt défavorablement connoté : il y a eu beaucoup de promesses, et peu de résultats.

M. Gaël Menu. - Je l'emploie en un sens apolitique.

M. Simon Uzenat, président. - Nous l'avons bien compris, mais il est vrai que l'emploi de ce terme suscite une forme de vigilance. Nous serons très attentifs à la ventilation des chiffres d'affaires que vous nous fournirez. On imagine que si vous ne réunissez que 146 éditeurs américains, soit beaucoup moins que le nombre d'éditeurs français, la comparaison des chiffres d'affaires sera loin d'être aussi déséquilibrée.

M. Gaël Menu. - Nous le précisons, 2 113 PME sont concernées par ce marché, sur les 2 800 éditeurs. Les PME représentent 74,6 % du marché, soit une part très importante. Il y a donc un ruissellement vers les PME.

M. Simon Uzenat, président. - Ce chiffre de 74,6 % recouvre-t-il des actes d'achat ou des volumes financiers ?

M. Gaël Menu. - Il s'agit de la proportion de PME parmi les 2 800 éditeurs présents sur le marché.

M. Simon Uzenat, président. - D'accord. Quel est le chiffre d'affaires de ces PME ?

M. Gaël Menu. - Il est de 800 millions d'euros.

Mme Sylvie Wethli. - Cela signifie bien que, à travers l'Ugap, ces PME bénéficient de la commande publique, laquelle a un véritable impact. Les chiffres d'affaires des majors sont peut-être importants, mais 55 000 commandes ont été adressées à des PME à travers ce marché, qui entame sa troisième année.

M. Dany Wattebled, rapporteur. - Certaines PME sont-elles montées en gamme ?

Mme Sylvie Wethli. - Tout à fait. Je pense à l'une de nos licornes, Doctolib, qui est apparue comme start-up dans la bibliothèque multi-éditeurs, juste avant la crise du covid. Lors de cette crise, l'État a joué un rôle de sélection des éditeurs, en préconisant l'usage de certains d'entre eux. Le ministère de la santé cherchait un acteur français pour développer une plateforme permettant de prendre des rendez-vous en ligne. Le choix s'est fait sur Doctolib, Maiia et Keldoc. Il y a une volonté et un accompagnement de l'État. De même, le ministère de l'éducation a demandé à l'Ugap et à SCC de référencer une bibliothèque d'éditeurs pédagogiques, en estampillant bien évidemment les éditeurs français par rapport aux autres. Nous partageons tous la mission de faire en sorte que la commande publique ait un impact sur l'innovation, les start-ups et les sociétés françaises.

M. Dany Wattebled, rapporteur. - Quand elle est bien orientée, la commande publique peut avoir des effets sur nos start-ups. C'est une question d'orientation et de volonté.

Mme Sylvie Wethli. - Exactement. L'Ugap dispose d'ailleurs d'un département de politiques publiques, dans lequel travaillent des spécialistes de l'innovation et des start-ups. Avec l'Ugap et la French Tech, dans les régions, à Bordeaux, à Marseille ou à Saclay, nous invitons la communauté des éditeurs pour leur présenter le marché multi-éditeurs, la manière dont il peut accélérer leur croissance et les démarches à suivre pour y candidater. Ces actions sont spécifiquement dirigées vers les start-ups françaises.

Dans notre bibliothèque, les fiches fournisseurs précisent bien quelles sont les entreprises de la French Tech. Lorsque nous signons avec un éditeur français innovant, nous faisons de la communication pour préciser que le marché entre l'Ugap et SCC joue un rôle crucial pour le développement de telle ou telle entreprise, dans tel ou tel secteur. Le marché multi-éditeurs prévoit beaucoup d'accompagnement des politiques publiques.

M. Gaël Menu. - En ce qui concerne la mise en avant des PME, des entreprises françaises, des start-ups et de la French Tech en général, au moment où nous validons les éditeurs éligibles, le portail de l'Ugap met à disposition des usagers un moteur de recherche où ils peuvent rechercher tous les éditeurs spécialisés dans un domaine particulier, l'intelligence artificielle par exemple, ou en fonction de leur origine géographique. Les adhérents à l'Ugap, c'est-à-dire les acheteurs de la commande publique, peuvent ainsi détecter facilement et directement des éditeurs français innovants.

M. Simon Uzenat, président. - Si une collectivité cherche à faire appel à une entreprise de services numériques garantissant une immunité par rapport aux législations extraterritoriales, ce critère peut-il entrer en ligne de compte ?

M. Gaël Menu. - Il le pourrait, mais ce n'est pas le cas.

Mme Sylvie Wethli. - Nous pouvons évoluer sur ce point.

Nous vous avons exposé les mesures particulières que nous prenons pour mettre en avant les éditeurs français : labels lors de la candidature, identification des Siret, mots-clés dans le moteur de recherche. Nous organisons également divers événements, notamment des webinaires pour expliquer la commande publique aux nouveaux entrants. Nous assurons un support téléphonique qui recueille près de 300 appels par mois, souvent du fait de nouveaux entrants de taille moyenne. Dans le monde de l'édition, les collaborateurs des éditeurs sont assez mouvants, et il faut sans cesse évangéliser les acteurs autour de ce marché. Nous avons parlé du portail que nous avons développé, qui représente pour les entreprises un vrai bénéfice : en permanence, elles peuvent suivre l'avancée du processus d'achat, jusqu'à leur facturation.

M. Gaël Menu. - Ce que l'on observe aujourd'hui dans le cadre de ce type de marché - je parle ici des marchés multi-éditeurs, dont plusieurs sont actuellement actifs - c'est qu'ils sont exposés, à moyen et long terme, à un risque. Concrètement, une baisse importante des volumes s'annonce, en raison de l'évolution du modèle économique des grands éditeurs, qui s'orientent massivement vers des solutions de type software as a service (SaaS). Ce modèle privilégie le droit d'usage au détriment de la possession de la licence.

Les grands hyperscalers, que vous connaissez bien - Amazon Web Services (AWS), Microsoft Azure, Google Cloud et consorts - commercialisent directement leurs services via leur marketplace. Ces plateformes permettent d'acquérir des solutions SaaS sans passer par les circuits traditionnels. Dans le secteur privé, où j'interviens également, un grand nombre de contrats ont été signés entre ces hyperscalers et de grandes entreprises françaises.

Ces contrats prévoient des seuils de consommation de services cloud. Si les objectifs fixés ne sont pas atteints, les fournisseurs incitent les clients à acheter des logiciels via leur marketplace pour compenser ce déficit de consommation. À défaut, les sommes engagées sont perdues.

Cette logique commence à s'imposer également dans le secteur public. Les entités ayant souscrit à des contrats de services cloud avec ces grands opérateurs se voient appliquer les mêmes mécanismes. Par conséquent, la commande publique risque de se retrouver, à terme, contrainte d'acquérir ses logiciels via ces grandes marketplaces. L'Ugap, comme d'autres grandes centrales d'achat, pourrait voir se réduire significativement la demande initiale sur son marché multi-éditeurs.

Mme Sylvie Wethli. - Or, le marché attribué par l'UGAP est conçu pour favoriser les PME, notamment les éditeurs de taille modeste. Ces éditeurs ne sont pas présents sur les marketplaces des grands fournisseurs de cloud, et risquent donc d'être évincés.

M. Gaël Menu. - C'est l'un des risques majeurs.

Nos PME françaises n'ont qu'un accès limité aux grandes marketplaces internationales. Leur développement, comme leur promotion, repose donc largement sur des dispositifs tels que l'Ugap, plutôt que sur les contrats passés avec les plateformes des grands hyperscalers.

Mme Sylvie Wethli. - Par ailleurs, de nouveaux besoins apparaissent au sein des collectivités, notamment autour des thématiques de la ville intelligente, du bâtiment intelligent, de la gestion énergétique ou encore de la mobilité durable. Ces domaines, très techniques, sont souvent couverts par des éditeurs spécialisés, positionnés sur des niches technologiques. Ces entreprises, bien souvent françaises, accèdent à la commande publique grâce au marché multi-éditeurs de l'Ugap. En aucun cas elles ne se tourneront vers les marketplaces des grands fournisseurs de cloud, qui, de leur côté, ne manifestent aucun intérêt pour ces PME et start-ups innovantes. Le marché multi-éditeurs de l'Ugap joue donc un rôle essentiel.

M. Simon Uzenat, président. - L'horizon que vous évoquez sur le SaaS, qui est déjà très largement une réalité, notamment avec les hyperscalers américains, n'est pas celui que l'on veut rendre non négociable, comme s'il s'agissait d'une sorte de fatalité pour les acheteurs publics en particulier. Dans le cadre de nos auditions, nous essayons d'identifier toutes les alternatives possibles pour redonner des marges de manoeuvre et d'autonomie à nos acteurs, qu'ils soient publics ou privés, et au demeurant à notre pays et à notre continent. On voit bien le mouvement qui consiste à créer des phénomènes d'enfermement successifs. L'enjeu pour nous est de retrouver le maximum de marge de manoeuvre, en prenant appui sur les opérateurs français et européens.

Comment avez-vous intégré ces préoccupations au-delà de la commission d'enquête qui permet de mettre en lumière ces sujets ? Comment avez-vous pris en compte les remarques et les attentes qui ont pu être exprimées, que ce soit du côté des entreprises, TPE, PME et start-ups, ou du côté des acheteurs publics, avec des niveaux de maturité évidemment variables, sur des sujets tels que la sécurité, la souveraineté en matière d'hébergement des données, ou la recherche de solutions qui évitent de se mettre entre les mains de ces géants américains avec des risques qui ne font que grandir ? Comment, dans le cadre du dialogue que vous avez avec l'Ugap, pouvez-vous envisager une meilleure prise en compte de ce type de considérations ?

De plus, votre présentation indiquait, si je ne me suis pas trompé, que 70 % de votre chiffre d'affaires était lié au public. Est-ce exact ?

M. Gaël Menu. - C'est plutôt 60 % du chiffre d'affaires maintenant. Le taux de 70 % correspond plutôt à l'année passée. Nous vous avons fourni le chiffre du marché multi-éditeurs qui correspond à peu près à 24 % ou 25 % de notre chiffre d'affaires. Si on le ramène au niveau du groupe, il est de 17,4 %.

M. Simon Uzenat, président. - Ce qui signifie que, même si vous avez évoqué votre présence sur le secteur public, le marché de l'Ugap reste votre marché principal.

M. Gaël Menu. - C'est en effet notre plus gros marché. À côté de l'Ugap, nous intervenons auprès d'autres centrales d'achat, telles que le réseau des acheteurs hospitaliers (Resah) et la centrale d'achat de l'informatique hospitalière (CAIH). Nous travaillons aussi avec plusieurs centrales d'achat régionales. Le software constitue une part significative de notre activité, mais celle-ci ne s'y limite pas : nous intervenons également sur l'infrastructure et d'autres segments que vous connaissez bien.

Mme Sylvie Wethli. - Je souhaite apporter une précision importante concernant l'Ugap : son marché multi-éditeurs n'intègre pas les majors. L'Ugap a lancé, de manière distincte, des appels d'offres spécifiques pour Microsoft et pour Oracle. La logique retenue par l'Ugap repose sur une véritable bibliothèque d'éditeurs, construite pour favoriser l'accès au marché à de petits éditeurs. C'est une particularité de cette centrale d'achat par rapport à d'autres structures qui, elles, peuvent inclure les majors dans leurs marchés multi-éditeurs.

M. Gaël Menu. - Ce sont des compétiteurs de SCC qui possèdent ces marchés.

M. Jean-Luc Ruelle. - Si je comprends bien, lorsque vous avez un nouvel éditeur, vous passez un contrat de distribution avec lui, qui s'opère ensuite par le biais du marché que vous avez avec l'Ugap. Est-ce bien cela ?

M. Gaël Menu. - Pas vraiment. Nous acceptons ce nouvel éditeur tel qu'il vient, à partir du moment où il respecte les règles du marché de l'Ugap. Nous ne négocions pas de contrat avec l'éditeur.

M. Jean-Luc Ruelle. - Tout à l'heure, nous avons parlé des appuis que vous apportez, notamment en matière de promotion et de formation. Cela ne s'inscrit-il pas dans un cadre juridique formalisé ?

M. Gaël Menu. - Non, pas du tout. Notre rôle consiste à promouvoir les solutions technologiques que ces éditeurs peuvent mettre à disposition de la commande publique.

Par exemple, sur la cybersécurité qui a été évoquée précédemment, lorsqu'un éditeur intervient dans ce domaine, nous mobilisons en face de lui des experts issus de nos équipes, dont la mission consiste à mettre en lumière les capacités concrètes de l'éditeur à produire des solutions adaptées aux besoins identifiés.

M. Jean-Luc Ruelle. - Il n'y a donc pas de négociation entre vous et le développeur ?

M. Gaël Menu. - Non. C'est pour cela que nous pouvons être assez clairs sur la notion de rémunération chez SCC. De toute façon, le pourcentage ne bouge pas. Peu nous importe tant que l'objectif est atteint, c'est-à-dire tant que le client final, ou la commande publique, est satisfait de la solution qu'on lui fournit.

M. Jean-Luc Ruelle. - Dans la prescription, notamment en ce qui concerne les enjeux de souveraineté, quelle part pouvez-vous prendre ? Quelle action pouvez-vous exercer ? Cela peut être déterminant.

M. Gaël Menu. - Nous sommes en mesure de permettre à la commande publique d'identifier l'ensemble des acteurs du marché capables de répondre à un besoin spécifique en matière de souveraineté numérique. Nous avons recensé les principaux éditeurs intervenant sur ces sujets, et nous pouvons les mettre à disposition des acheteurs publics.

Ainsi, lorsqu'un ministère, une collectivité ou tout autre client final nous formule une demande claire, par exemple s'il souhaite une solution de cybersécurité exclusivement franco-française ou européenne, nous sommes en capacité de lui présenter précisément les solutions disponibles au catalogue de l'Ugap.

Mme Sylvie Wethli. - Dans cette logique, nous avons récemment organisé à Lyon un événement dédié à la cybersécurité, avec des acteurs français, uniquement, à travers le canal de l'Ugap. Cela correspondait à une demande qui nous avait été faite. Nous sommes à l'écoute des besoins spécifiques qui s'expriment dans le cadre des politiques publiques locales.

M. Gaël Menu. - Pour répondre à votre question, le seul levier concret que nous ayons identifié à ce jour consiste à accompagner l'Ugap dans le développement de ses propres moyens, afin de proposer de nouveaux services à la commande publique.

Nous développons nous-mêmes une marketplace interne, reposant sur une propriété intellectuelle intégralement maîtrisée, afin de pouvoir nous détacher des grandes plateformes de marché américaines, dont l'usage peut nous être imposé. J'invite d'ailleurs mes confrères français et européens à faire de même pour créer des alternatives.

Nous observons une migration massive des systèmes d'information de nos clients vers les hyperscalers internationaux. Si nous voulons maintenir notre position auprès de ces clients dans les années à venir, nous devons être en mesure de leur offrir un niveau de service équivalent, voire supérieur.

Nous estimons que cette capacité existe en France. Tel est du moins l'objectif que nous nous sommes fixés : développer nos propres marketplaces, à l'échelle nationale, spécifiquement dédiées à nos clients publics, qui, comme vous l'avez souligné, représentent l'écrasante majorité de nos commandes. Nous souhaitons non seulement les accompagner au mieux, mais aussi leur offrir une véritable alternative.

À ce titre, nous avons d'ores et déjà pris l'initiative de nous certifier sur l'ensemble des offres souveraines disponibles - Bleu, S3NS, et d'autres encore - et nous y assurons également la délivrance de services. Cela nous permet de proposer des prestations de haute qualité, portées par des ingénieurs implantés en France, et, demain, de fournir ces mêmes services via une marketplace entièrement franco-française, conçue et hébergée sur le territoire.

M. Simon Uzenat, président. - Quand vous parliez d'aider l'Ugap, quelle forme cela prend-il concrètement ?

M. Gaël Menu. - Nous les avons aidés dans le développement de plusieurs outils dont ils disposent. Nous nous efforçons également de les faire bénéficier de notre connaissance du marché, en leur signalant les évolutions que nous observons. Il arrive que l'acteur public soit en avance sur certains sujets ; d'autres fois, il prend du retard. Lorsque nous constatons que certaines dynamiques s'accélèrent dans le secteur privé nous les en informons et nous leur proposons des développements.

M. Simon Uzenat, président. - Avez-vous des exemples précis d'outils ?

M. Gaël Menu. - Nous avons activement contribué au développement du projet Canal 4 au sein de l'Ugap. L'objectif est de formuler des préconisations et de fournir des conseils concrets sur ce qu'il est pertinent ou non de mettre en oeuvre. Nous bénéficions d'une connaissance approfondie de l'environnement public et de relations solides avec nos interlocuteurs, qui nous font part des difficultés qu'ils rencontrent, non seulement avec l'Ugap, mais également avec d'autres plateformes de marché.

De notre côté, nous remontons systématiquement les questions et attentes exprimées par les clients finaux. Bien entendu, ces remontées ne sont pas toujours prises en compte immédiatement, mais nous nous efforçons de pousser à leur intégration dans les évolutions du dispositif.

Mme Sylvie Wethli. - L'appel d'offres initial de l'Ugap mentionnait explicitement que le candidat devait être en mesure de mettre en oeuvre un outil de devis dématérialisé, pleinement intégré à la plateforme UGAP. C'est précisément l'objet du projet Canal 4.

Les bénéficiaires, qu'ils soient de petite taille, régionaux, hospitaliers, ministériels ou autres, partagent aujourd'hui des attentes claires : transparence, visibilité et rapidité. Ils veulent un prix juste et lisible, grâce, entre autres, par le taux d'intermédiation de SCC, mais aussi un accès rapide aux produits et services, sans devoir attendre deux mois pour obtenir un devis ou une licence.

Nous avons donc travaillé avec l'Ugap à l'automatisation des processus via le devis dématérialisé, en mettant en place un grand nombre d'interfaces de programmation d'application (API) entre nos systèmes respectifs, afin de fluidifier les échanges, d'éliminer les erreurs de saisie manuelle et, surtout, d'accélérer les délais de traitement pour les bénéficiaires.

Tout cela répond à un objectif simple qui est de servir efficacement la commande publique à travers l'Ugap.

M. Gaël Menu. - L'Ugap avait bien compris la nature du chantier demandé par les acteurs publics. Elle a donc veillé à simplifier l'ensemble du parcours, de la demande de devis jusqu'à la mise à disposition de la licence, dans un circuit automatisé et lisible, directement utilisable par l'acheteur public. Cela a donné le projet Canal 4 qui a pris du temps pour être mis en oeuvre, notamment en raison du volume de développement nécessaire du côté de l'Ugap, mais aussi des préconisations que nous avons formulées en tant que fournisseur de rang 1. Aujourd'hui, Canal 4 est opérationnel et utilisé par un grand nombre d'acteurs publics.

Les commandes peuvent désormais être passées directement, sans qu'il soit nécessaire d'entrer en contact avec quiconque. Cette automatisation représente un progrès considérable, en particulier pour les directions des systèmes d'information (DSI) et les équipes informatiques des clients publics, qui connaissent très bien leur métier et qui, parfois, ne font que renouveler des commandes et maîtrisent parfaitement leurs besoins. Ils n'ont pas besoin de discuter pendant des heures avec l'Ugap ou son fournisseur pour traiter un besoin. C'est là toute la simplicité de la démarche.

Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.

La réunion est close à 18 h 45.

Audition de M. Christian Vigouroux, président de section honoraire au Conseil d'État, auteur du rapport au Premier ministre « Sécuriser l'action des autorités publiques dans le respect de la légalité et des principes du droit »

Le compte rendu sera publié ultérieurement