Mardi 27 mai 2025

- Présidence de M. Simon Uzenat, président -

La réunion est ouverte à 13 h 30.

Audition de M. Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)

M. Simon Uzenat, président. - Nous reprenons cette semaine nos travaux en poursuivant l'exercice, engagé depuis plusieurs semaines, de clarification des enjeux actuels en matière de souveraineté numérique, au sujet notamment de l'hébergement des données publiques et du rôle que pourrait jouer la commande publique pour faire progresser notre souveraineté numérique.

Nous avons mis en lumière les signaux contradictoires envoyés par l'État et ses opérateurs, notamment dans le domaine de l'enseignement supérieur, mais aussi la situation de dépendance dans laquelle nous nous trouvons - et, parfois, nous complaisons - vis-à-vis de quelques grands acteurs internationaux. La prise de conscience à ce sujet reste ténue et encore trop peu partagée.

Nos auditions ont pourtant montré qu'une telle situation ne relevait nullement de la fatalité. L'écosystème français de l'innovation est performant, les start-ups sont nombreuses et certains acteurs ont atteint un haut niveau de maturité, si bien qu'ils sont capables d'offrir des services rivalisant avec ceux des Gafam (Google, Apple, Facebook, Amazon, Microsoft). Des solutions souveraines existent. Dès lors, pourquoi ne parvient-on pas à franchir le pas ?

Pour échanger avec nous à ce sujet, nous recevons M. Guillaume Poupard, directeur général adjoint de Docaposte, filiale du groupe La Poste chargée d'offrir des services numériques aux entreprises et spécialisée dans la confiance numérique, et ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et qu'elle fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête est passible des peines prévues aux articles L. 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances.

Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »

Conformément à la procédure applicable aux commissions d'enquête, M. Guillaume Poupard prête serment.

Je vous laisse, dans un premier temps, présenter brièvement Docaposte et son champ d'intervention dans le numérique de confiance auprès des personnes publiques. Quel regard portez-vous, avec l'expérience acquise dans vos fonctions actuelles, sur les pratiques des personnes publiques en matière d'achats numériques ? Leur niveau de compétence est-il, selon vous, suffisant ? Du fait de la complexification des solutions technologiques, parfois entretenue par les fabricants eux-mêmes, les assistants à maîtrise d'ouvrage (Amoa) ne tendent-ils pas à se substituer aux acheteurs eux-mêmes, alors qu'ils ne détiennent aucune légitimité, si ce n'est technique ?

C'est également au titre de l'expertise que vous avez acquise dans le cadre de vos fonctions à la tête de l'Anssi que nous souhaitions vous entendre. Entre 2014 et 2022, une politique publique de la souveraineté numérique a progressivement été élaborée, puis accélérée à la suite de la crise sanitaire et du développement de l'usage de services de cloud. Quels ont été le rôle et l'action de l'Anssi dans ce cadre, aux côtés notamment de la direction interministérielle du numérique (Dinum) ?

Vous avez créé, durant cette période, la qualification SecNumCloud. Associée à un très haut niveau d'exigence, celle-ci garantit l'immunité aux législations extraterritoriales des données hébergées par les produits qualifiés. Quel est le risque qu'emportent ces législations ? L'alliance d'un hyperscaler américain avec un acteur français permettrait-elle de nous prémunir contre ce risque ?

Enfin, vous étiez à la tête de l'Anssi lorsque la décision a été prise d'assurer l'hébergement de la plateforme des données de santé - le Health Data Hub (HDH) - chez Microsoft Azure. Avez-vous été associé à ce processus ? Des acteurs souverains n'étaient-ils pas en mesure d'assurer cette prestation ?

M. Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Je commencerai par évoquer le risque que vous avez pointé avant d'exposer les solutions telles que nous les élaborons depuis plusieurs années.

Le risque, bien connu, est relatif aux législations extra-européennes, pour ne pas dire américaine et chinoise, dont l'esprit est le même, et qui, d'une manière que j'estime excessive, permettent aux États-Unis et à la Chine d'accéder aux données hébergées par les acteurs numériques très puissants qui développent leur activité sur leur sol. Il s'agit non pas d'espionnage, mais, dans le cas des États-Unis, d'un empilement législatif constitué, entre autres, du Patriot Act, du Fisa (Foreign Intelligence Surveillance Act) et du Cloud Act.

S'il est impossible de savoir si ces puissances utilisent ces données ou non, j'estime, pour ma part, qu'il serait incohérent qu'elles ne les utilisent pas. Je pars donc du principe, pour ce qui est de l'analyse du risque, que les outils dont disposent ces États sont bien opérationnels.

Quelles sont les solutions pour nous prémunir contre ce risque ? Depuis plusieurs années, l'Anssi travaille à l'élaboration d'outils - certification, qualification - permettant de garantir la sécurité des produits. Dès 2014, l'arrivée du cloud a rendu nécessaire la mise au point par l'Anssi d'un référentiel permettant aux utilisateurs de se faire une idée de la sécurité réelle des solutions proposées.

Nous avons donc établi des règles à la fois claires et lisibles - relatives à la sécurité technique, au chiffrement, à la sécurité opérationnelle, à l'accès aux data centers... - auxquelles les industriels peuvent se référer lorsqu'ils souhaitent faire qualifier un produit. L'évaluation est réalisée par un tiers indépendant, puis transmise à l'Anssi, qui prend la décision finale au nom de l'État français. L'assise juridique de cet outil, nommé SecNumCloud, est donc solide.

Ce référentiel n'incluait au départ que des critères de sécurité technique et opérationnelle. Je considérais, en effet, que la protection juridique vis-à-vis du droit non européen ne relevait pas du champ de l'Agence. J'ai toutefois rapidement compris que garantir la sécurité technique d'une solution sans garantir la sécurité des données n'avait pas de sens.

Nous avons donc inclus des critères d'immunité au droit extraterritorial, ce qui ne fut pas si simple : il ne suffit pas de dire que les sociétés européennes sont gentilles et que les sociétés non européennes sont méchantes ! En tout état de cause, ces critères sont désormais inclus dans le référentiel.

Il existe aujourd'hui deux manières d'élaborer un cloud satisfaisant aux critères de ce référentiel.

La première consiste à opter pour des technologies américaines, mais à les faire opérer par des acteurs qui ne sont pas soumis au droit américain. De telles offres sont actuellement en cours de développement en France et, même si cela ne relève plus de ma responsabilité, elles sont conçues pour obtenir la qualification SecNumCloud et sont susceptibles de l'obtenir. Elles correspondent à ce que Bercy nommait le cloud de confiance, ou cloud hybride : si la technologie n'est pas souveraine, les opérateurs ne sont soumis qu'au droit européen - c'est du moins ce que l'on espère.

La seconde manière de procéder consiste à développer des solutions concurrentes en faisant opérer des technologies européennes par des acteurs européens tant pour le développement que pour l'exploitation. C'est ce que font Outscale de Dassault Systèmes, OVHcloud ou Scaleway. C'est aussi ce que nous faisons chez Docaposte, notamment dans le cadre de l'offre NumSpot que nous avons développée en partenariat avec la Banque des territoires, Bouygues Telecom et Dassault Systèmes, de manière à proposer une offre totalement maîtrisée - terme que je préfère à « souveraine », même s'il s'agit aujourd'hui de l'expression consacrée. L'objectif est de proposer des offres de cloud qui soient naturellement immunes au droit extraterritorial.

L'open source étant aujourd'hui mature - ce n'était pas vrai il y a dix ans -, il est possible, à condition de disposer d'ingénieurs qualifiés, ce qui est le cas, d'intégrer des technologies open source dans l'élaboration d'un produit robuste, efficace, sécurisé et immun aux droits américain et chinois. Tel est le pari que NumSpot est en train de gagner.

Une telle offre peut-elle être qualifiée de souveraine ? Je pense que oui. Les offres hybrides que j'évoquais sont-elles souveraines ? De toute évidence, on ne parle pas du même type de produit, la principale différence tenant, à mon sens, non pas à la sécurité, mais à la disponibilité des technologies. Si, demain, les fournisseurs de technologies américains décident de couper l'accès à leurs technologies, compte tenu de l'évolution constante des outils et des mises à jour nécessaires à leur fonctionnement, les systèmes hybrides s'effondreront très rapidement, au bout non pas de quelques années ou de quelques décennies, mais de quelques jours, peut-être de quelques semaines.

Dans le contexte géopolitique actuel, que personne n'aurait pu prédire il y a quelques années, même les personnes aussi paranoïaques que moi, des décisions politiques pourraient tout à fait interdire la diffusion de technologies. C'est un risque que l'on ne peut pas prendre.

Docaposte est la filiale numérique de La Poste. Elle a été créée pour proposer des solutions et des services nativement souverains - nous produisons des produits souverains comme M. Jourdain faisait de la prose... Notre modèle économique repose sur le développement de produits en Europe, principalement en France. L'hébergement est assuré dans des data centers situés en France, dans des sites dont nous sommes propriétaires et par des opérateurs qui sont nos salariés.

Nous proposons nos services en matière de conseil, d'édition de logiciels et de fabrication de plateformes dans trois domaines prioritaires : le secteur public ; la santé ; l'éducation. Le choix de ces domaines d'activité ne doit rien au hasard. Nous les avons choisis en raison de la sensibilité des données concernées, laquelle, il est vrai, n'est pas toujours clairement reconnue par la réglementation.

À titre d'exemple, Docaposte a acquis, il y a quelques années, Index Éducation, une société qui édite notamment le logiciel Pronote. Celui-ci est utilisé par l'immense majorité des collèges et des lycées pour gérer notamment les notes et les absences des élèves, les évaluations des professeurs et les cahiers de textes.

Lorsque le fondateur de cette très belle société a souhaité passer la main, nous nous sommes rendu compte de la sensibilité des données gérées par Pronote : toutes les notes, absence et remarques sur nos enfants ! Elles sont soumises au règlement général sur la protection des données (RGPD) mais je ne crois pas qu'un texte spécifique reconnaisse la sensibilité de ces données. Elles le sont pourtant intuitivement, tout comme les données de santé. Lorsque des fonds de pension, notamment anglo-saxons, ont envisagé de racheter cette société, nous avons considéré qu'il fallait qu'elle soit cédée à un opérateur de confiance tel que Docaposte. De telles données doivent, en effet, être gérées de manière éthique - un business plan infernal et très profitable consisterait, par exemple, à vendre ces données à des sociétés proposant des cours à domicile. Sachant que nous disposons des notes de tous les élèves de France, nous pourrions sans doute proposer un ciblage dont les Gafam eux-mêmes seraient incapables...

Docaposte entretient de très bonnes relations avec les services de l'État, notamment avec la Dinum. Pour ma part, je suis passé de l'Anssi, où les relations avec les services de l'État étaient très bonnes, à Docaposte, où il en va de même, le tout dans un respect total de la déontologie. Nous partageons en particulier avec la Dinum les mêmes intuitions en matière de maîtrise et de souveraineté de la donnée, l'enjeu étant de trouver le bon équilibre entre ce qui doit être fait par l'État et ce qui doit être fait par des acteurs industriels.

En tant qu'ancien directeur de l'Anssi, j'estime que, pour piloter des prestataires, les services de l'État doivent compter des experts et disposer de la compétence nécessaire. Lorsque je la dirigeais, j'encourageais les experts de l'agence à élaborer des Proof of concept (POC) et des démonstrateurs. J'ai en revanche toujours été très réticent à développer des produits en son sein et, chaque fois que nous l'avons fait, je l'ai regretté, car il s'agit au fond d'un autre métier. La maintenance, la gestion des utilisateurs et les corrections n'amusent pas les experts !

Il faut donc que les services de l'État disposent des moyens de recruter des experts et que ces derniers élaborent des stratégies claires, puis qu'ils sachent passer la balle à des industriels de confiance pour le développement de produits - autrement dit, qu'ils leur attribuent des marchés publics.

J'en viens au sujet de votre commission d'enquête. Si les critères de prix, de responsabilité sociétale des entreprises (RSE) et de performance technique sont maîtrisés par les acheteurs publics, il en va tout autrement des critères de sécurité. De fait, lorsque je dirigeais l'Anssi, j'ai constaté que, du fait d'un défaut de formation, les acteurs publics ne savent pas comment s'assurer de la sécurité des produits qu'ils achètent - nous avions du reste travaillé avec la direction des achats de l'État (DAE) à l'élaboration d'un guide à destination des acheteurs.

Quelques années plus tard, nous sommes exactement dans la même situation. Pour y remédier, il faudrait former les acheteurs dans ce domaine, mais il faudrait aussi que les donneurs d'ordre acceptent de payer un peu plus cher pour acquérir des solutions dont la sécurité et la disponibilité sont garanties. Cela suppose une volonté et un courage durables, car il est toujours plus facile d'acheter les mêmes produits que d'autres acheteurs, quitte, le cas échéant, à se tromper ensemble. Il est toujours plus dur d'avoir raison tout seul... Compte tenu des doutes qui continuent de peser sur la validité des critères de souveraineté, il faut encore beaucoup de courage pour intégrer ces critères et en payer le prix.

M. Dany Wattebled, rapporteur. - En tant que dirigeant de l'Anssi, vos conseils ont-ils été sollicités dans le cadre des marchés publics passés par l'Union des groupements d'achats publics (Ugap) ou par le Health Data Hub ? De combien d'agents disposiez-vous ?

Qu'est-ce qui s'oppose à l'introduction d'une clause de souveraineté dans les marchés publics ?

De nombreuses données sensibles ont été confiées à Microsoft. Selon vous, que fait la Commission nationale de l'informatique et des libertés (Cnil) et à quoi sert le RGPD ?

Nous avons bien compris que de nombreux marchés publics de fourniture ou d'hébergement passaient par l'Ugap, et que de nombreux marchés étaient attribués à Microsoft parce que l'Ugap disposait des produits de cette société dans son catalogue. Comment faire en sorte que les acteurs français qui sont capables de développer des solutions souveraines se voient attribuer des marchés publics ?

M. Guillaume Poupard. - Les rapports entre l'Anssi et l'Ugap ou d'autres structures se sont construits au fil du temps. Quand je suis arrivé à l'Anssi, l'agence était très jeune, et la confiance n'était pas établie. Nos efforts ont payé.

Lorsque nous avons constaté que les administrations achetaient des produits américains plutôt que les produits certifiés ou qualifiés par l'Anssi, au motif que ces derniers ne figuraient pas dans le catalogue de l'Ugap, nous nous sommes rapprochés de celle-ci pour remédier à cette situation, notamment par le biais d'une convention.

Pour ce qui est des projets, le cas du HDH est assez emblématique et je ne veux pas l'esquiver. Lorsque cette idée, très observée politiquement, a été lancée, j'ai indiqué aux conseillers de l'Élysée qui m'ont interrogé, au côté de la CNIL, sur la marche à suivre pour obtenir une solution sécurisée et réglementairement fiable qu'il y avait, selon moi, deux questions à traiter. La première concernait la sécurité et devait être prise en charge par l'Anssi. C'était en effet le devoir de l'agence, en tant qu'autorité nationale de cybersécurité, et sa mise à l'écart n'était pas une option. La seconde difficulté, plus politique, avait trait à la souveraineté. Sans vilain jeu de mots, je ne veux pas tirer sur une ambulance, mais, parmi les solutions qui étaient disponibles pour héberger le HDH, Microsoft était la mieux placée.

M. Dany Wattebled, rapporteur. - Des acteurs français nous disent aujourd'hui qu'ils auraient pu s'en charger.

M. Guillaume Poupard. - Ils auraient dû développer des solutions, mais ce n'est pas le choix qui a été fait, car il s'agissait d'aller vite.

M. Dany Wattebled, rapporteur. - Mais vous me confirmez que des acteurs français auraient pu répondre à l'appel d'offres ?

M. Guillaume Poupard. - À vrai dire, je ne suis pas certain qu'il y ait eu un appel d'offres, mais, plutôt que de pleurer sur le lait versé, je crois qu'il faut se concentrer sur ce qui se passe aujourd'hui. Or, aujourd'hui, il est certain que des acteurs français sont prêts ! Leur catalogue de services est certes moins complet que celui des Gafam, mais, lorsque l'on achète une voiture, on n'achète pas l'ensemble du catalogue de la marque. Aujourd'hui, les clouders français proposent les services dont nous avons besoin.

En matière d'hébergement, Amazon offre 200 ou 300 services. C'est très utile pour des acteurs qui souhaitent se lancer très vite, d'autant que tout est quasiment gratuit, même si la contrepartie est l'enfermement dans un environnement. Lorsque nous avons établi la feuille de route technologique de NumSpot, nous avons fait le tour de nos clients, notamment en interne - La Poste, la Caisse des dépôts et consignations -, et nous nous sommes rendu compte que 90 % des besoins étaient couverts par moins d'une dizaine de services. Nous n'avons donc pas un catalogue aussi étoffé que Microsoft, et cela durera sans doute. En revanche, les services que nous proposons couvrent les besoins du HDH.

En 2018-2019, il aurait fallu avoir le courage de financer le développement de solutions souveraines - je précise que cela se serait chiffré non pas en milliards, mais en millions d'euros. Nous pouvons donc à bon droit regretter d'avoir perdu du temps, sur ce projet comme sur d'autres, mais le passé est le passé.

J'estime qu'il faut avoir le courage d'instaurer les clauses de souveraineté. Le principal obstacle est que, sauf dans des cas très particuliers, relatifs à la défense ou à la sécurité nationale, ce serait considéré comme du protectionnisme au regard des règles de l'Organisation mondiale du commerce (OMC).

En France, nous avons pu instaurer la qualification SecNumCloud grâce à un accord interministériel. Dans le cadre des négociations relatives au EUCS (European Union Cybersecurity Scheme for Cloud Services), qui en est l'équivalent européen, nous avons plaidé pour l'adoption d'un système calqué sur le système français, qui a fait la preuve de son efficacité. On nous a opposé de violentes critiques, au motif que cela contreviendrait aux règles de l'OMC, si bien que la situation est actuellement bloquée - à un certain moment, j'ai même craint que le projet ne soit tout simplement abandonné ou aboutisse à un accord sur une norme ne garantissant pas la protection contre les législations extraterritoriales. Il revient in fine au politique d'assumer que nous souhaitons acheter des systèmes européens plutôt qu'américains ou chinois.

En la matière, la Cnil a été très courageuse. Elle se doit d'avoir une lecture juridique du problème. Les décisions d'adéquation de la Commission européenne - Safe Harbor, Privacy Shield, et Data Privacy Framework (DPF) - sont insupportables, car elles reviennent à mettre un voile pudique sur le non-respect du RGPD par le droit européen. On se rassure en se disant que c'est la condition pour développer le numérique en Europe, mais j'ai trouvé scandaleux que le DPF soit annoncé par la présidente de la Commission européenne en même temps que l'accord trouvé sur le gaz liquéfié américain dans le cadre de la crise ukrainienne. Chacune de ces décisions est ensuite cassée, notamment grâce à la détermination de l'avocat autrichien Max Schrems, mais, chaque fois, cela prend quatre ans, durée pendant laquelle les acteurs américains profitent cyniquement du système.

Il reste que nous avons des industriels français assez remarquables qui, au-delà des aides et des subventions, ont besoin de marchés publics pour se développer. Les produits américains sont certes performants, mais, en sus des subventions que les industriels ont probablement perçues, ils ont accès à un marché domestique qui est sans commune mesure avec le marché français.

Il ne faut donc céder ni au renoncement ni à la tentation de sauter des étapes. Il ne faudrait pas, notamment, renoncer au cloud pour nous concentrer sur l'intelligence artificielle, car il faudra bien opérer celle-ci dans un cloud. Nous avons les moyens, aujourd'hui, de maîtriser l'ensemble de la chaîne numérique.

Mme Catherine Morin-Desailly. - Sans pleurer sur le lait versé, il faut reconnaître que nous avons perdu dix ans. Nous avons raté une étape stratégique, ce qui permet à MM. Letta et Draghi de déplorer le déficit de politique industrielle européen.

Je rappelle, du reste, que c'est au Sénat, le 16 juillet 2020, que le Gouvernement avait été interrogé sur les raisons pour lesquelles aucun appel d'offres spécifique n'avait été lancé pour l'hébergement du HDH. Les entreprises que nous avons entendues nous indiquent, de plus, qu'elles ne candidatent pas tant les exigences sont nombreuses et les cahiers des charges complexes.

Vous avez mentionné les deux leviers que sont la formation des acheteurs et la volonté politique de se prémunir contre les risques, en particulier géopolitiques. Le risque de préemption de nos donnes est accru, en raison notamment de la faiblesse du troisième accord d'adéquation. J'estime qu'il est de notre devoir de nous doter d'outils sécurisés.

La doctrine « cloud au centre », avec la qualification SecNumCloud et la notion de cloud de confiance, a-t-elle été pensée comme un moyen de continuer à travailler avec Microsoft et avec les technologies américaines après le constat de l'impossibilité de confier sur le long terme l'hébergement du HDH à cette entreprise soumise au droit américain ? Cédric O, qui était alors secrétaire d'État chargé du numérique, vous a-t-il explicitement passé commande d'une telle solution ?

Estimez-vous que les dispositions de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi Sren, suffiront à conduire le Gouvernement à adopter les solutions totalement immunes que vous avez décrites ? Le décret d'application, dont le projet a été transmis à Bruxelles, vous paraît-il suffisamment clair et étoffé en ce sens ?

M. Henri Cabanel. - Qui devrait, selon vous, former les acheteurs ? Et comment s'assurer que les acheteurs sont effectivement formés ?

Vous avez indiqué qu'il fallait s'affranchir des règles de l'OMC, mais préconisez-vous d'évaluer au préalable les difficultés juridiques auxquelles nous pourrions nous exposer, ou pensez-vous qu'il faut agir d'abord et aviser ensuite ?

M. Guillaume Poupard. - Actuellement, la géopolitique nous aide, car même ceux qui nous trouvaient paranoïaques sont dépassés. Il faut en profiter pour construire maintenant, avant un retour à une situation plus normale, sans laisser le temps passer. La commande publique doit devenir un véritable outil de politique industrielle, ce qui nécessite un rapprochement entre ces deux métiers différents, qui ne se croisent pas beaucoup actuellement.

S'agissant de la doctrine « cloud au centre », elle résulte d'un travail de la Dinum, mené en étroite coopération avec l'Anssi sur les questions de sécurité. Bien qu'il n'y ait pas eu de commande ministérielle écrite explicite, une pression s'est exercée pour faire durablement évoluer la situation du numérique dans le secteur public, et aucun frein n'a été opposé à son développement - bien au contraire.

Cette doctrine a été rédigée et portée politiquement ; elle l'est toujours, comme en témoigne le récent courrier de trois ministres - Mme Chappaz, Mme de Montchalin et M. Ferracci - rappelant qu'elle est d'application obligatoire dans toutes les administrations, qui doivent recourir à un cloud de confiance pour les usages publics.

De plus, les contrôleurs budgétaires et comptables ministériels (CBCM) seront désormais chargés de contrôler les achats de cloud et leur compatibilité avec cette doctrine, ce qui en fait un sujet budgétaire, et non plus seulement un problème des directions informatiques ministérielles. C'est une évolution très positive à mes yeux.

Cette doctrine a été davantage examinée, et critiquée, par certains partenaires européens, car la certification en elle-même ne traite pas de l'usage qui sera fait des labels créés. C'est lorsqu'il est question d'imposer la qualification SecNumCloud dans tout le périmètre concerné que les choses deviennent plus concrètes et suscitent des inquiétudes, comme on a pu le voir dans le cadre des débats sur la loi Sren. À l'échelle européenne, lors des négociations sur la certification EUCS, il a fallu rassurer certains de nos partenaires sur le fait que les systèmes de certification ne seraient pas utilisés de manière abusive en appliquant le plus haut niveau de sécurité à toutes les applications possibles. Il faut trouver le bon équilibre pour montrer une volonté de se doter d'outils performants sans pour autant prétendre vouloir les appliquer partout.

Faut-il que toutes les données publiques imaginables soient hébergées sur du cloud qualifié SecNumCloud ? On pourrait le souhaiter, mais cela pourrait s'avérer contre-productif et faire peur à nos partenaires. Il convient donc, par pragmatisme, de procéder par étapes, en commençant par les données sensibles. Pour autant, la définition de celles-ci ne va pas de soi, et ce travail impose d'accepter que certaines données soient moins sensibles - je le dis non par gaieté de coeur, mais par souci de pragmatisme. Le périmètre des données sensibles ne doit pas pour autant être trop réduit. Ainsi, les données issues de l'éducation, voire de la santé, ne sont pas formellement reconnues comme sensibles aujourd'hui.

Un travail collectif est nécessaire pour parvenir à finaliser cette définition, comme celui qu'a mené Docaposte au sein du nouveau comité stratégique de filière (CSF) dédié au numérique de confiance. De même, le décret d'application de l'article 31 de la loi Sren impose une telle réflexion : que fait-on, par exemple, des systèmes existants, comme le HDH ?

Ma principale crainte est le risque que les règles de dérogation et d'exclusion ne perdurent indéfiniment. Une décision doit venir, non des responsables techniques mais d'en haut, pour déterminer si nous sommes prêts ou non à avancer, indépendamment des surcoûts ponctuels liés à la nécessité de redévelopper certains systèmes complexes difficilement portables d'un cloud à l'autre. Bien que souhaitable, la portabilité est en effet bien plus complexe pour le cloud que pour les numéros de téléphone ou les comptes bancaires.

Nous disposons désormais de bonnes bases pour progresser, lesquelles ont fait l'objet de discussions et d'un vote. Une véritable impulsion est désormais indispensable. À ce titre, il appartient aux responsables, et non aux acheteurs, qui ne font qu'appliquer les consignes, de prendre les décisions, en tenant compte des risques identifiés par les juristes, tout en assumant certains d'entre eux, au cas par cas. Il n'y a pas de règle unique. Il faut faire du sur-mesure, mais la responsabilité revient bien aux décideurs.

En matière de formation, les acheteurs sont en mesure de rédiger les clauses et de procéder techniquement dès lors qu'ils auront reçu les orientations adéquates. Un travail avec la DAE sur ce sujet pourrait s'avérer fructueux à court terme, à l'image de celui qui a été mené précédemment sur la cybersécurité, pour la satisfaction de tous.

M. Dany Wattebled, rapporteur. - Toute donnée est sensible dès lors qu'elle concerne la vie privée et qu'elle peut être regroupée et exploitée. Le problème réside dans la donnée elle-même, indépendamment de sa nature.

Établir une gradation dans la sensibilité des données me semble bien difficile. Qu'il s'agisse d'informations relatives à la santé, aux assurances ou au patrimoine, à partir du moment où elles sont catégorisées, triées, accessibles, et dès lors que l'intelligence artificielle s'en empare, les données deviennent exploitables, donc sensibles.

M. Guillaume Poupard. - Je suis d'accord avec vous : il est aisé de citer des exemples de données sensibles, outre celles qui le sont réglementairement ou intuitivement. Le véritable enjeu réside dans le fait que l'accès global à une multitude de données non sensibles en elles-mêmes peut, par leur somme, revêtir un caractère sensible. Ce principe est d'ailleurs pris en compte dans la réglementation relative aux données de défense.

Que les acteurs numériques américains aient accès au contenu des téléphones de mes enfants, par exemple, ce n'est pas très grave, car ces informations ne relèvent pas du secret défense. Pour autant, l'agrégation des données de tous les enfants à l'échelle de la planète leur conférerait incontestablement une sensibilité aiguë.

Ma crainte est que vouloir tout faire évoluer en un seul coup ne conduise finalement à l'immobilisme.

Dans le domaine industriel - un exemple qui permet d'éviter les écueils liés au RGPD et aux données personnelles -, les données sont identifiées comme un secteur en très forte croissance, dépassant largement en volume les données personnelles, et connaissant une progression appelée à se poursuivre. Là encore, il peut s'agir de données techniques qui, prises indépendamment, n'ont aucune valeur ; cependant, lorsque l'on dispose de l'ensemble des données industrielles d'un grand groupe, il en va tout autrement.

Je sais que vous percevez combien mon argumentation manque de conviction : cela reflète mes propres doutes sur le sujet.

M. Simon Uzenat, président. - Nous sommes nombreux à considérer, dans cette commission d'enquête sur la commande publique, que toute donnée publique est, par définition, sensible.

Certes, des degrés peuvent exister dans la sensibilité, mais le principe doit demeurer que toutes ces données sont sensibles. Les auditions de représentants d'établissements d'enseignement supérieur, par exemple, ont montré que même des données à caractère simplement administratif pouvaient, une fois compilées, servir à l'intelligence économique ou à bien d'autres finalités.

Notre sujet est bien cette préoccupation et sa traduction. S'il n'est pas nécessaire d'appliquer le label SecNumCloud à toutes les données publiques, l'immunité aux législations extraterritoriales doit en revanche pouvoir s'appliquer automatiquement dans le cadre des marchés qui emportent un traitement de ces données.

La commission délibérera le moment venu, mais cela fera très probablement partie des orientations qui seront portées de façon consensuelle.

Par ailleurs, la question des assistants à maîtrise d'ouvrage a été soulevée, car il s'agit d'un sujet récurrent. Vos différentes expériences, à l'Anssi puis à Docaposte, pourraient éclairer ce point, car les adhérences capitalistiques entre les acteurs contribuent au retard que nous avons pris. La responsabilité est certes collective, mais les Amoa jouent un rôle particulier dans le processus.

Le courrier des ministres auquel vous avez fait référence pour rappeler la nécessité de respecter les règles existantes nous semble choquant. Cela interpelle fortement sur la prise en compte et sur la prise de conscience politique de l'urgence et du caractère non négociable de ces prescriptions, même si des problèmes de formation ou de maturité peuvent être invoqués. Les auditions de ministres actuels ou passés que nous réaliserons prochainement leur permettront de rendre compte de leurs actions et de leurs décisions en la matière.

De vos propos ressort bien le sentiment, largement étayé par les faits au fil de nos auditions, que du temps a été perdu en la matière.

Quant à la souveraineté sur les données et aux mentions visant à garantir notre immunité à l'égard des législations extraterritoriales, il ne s'agit pas de protectionnisme. Si tel était le cas, cela reviendrait à admettre que les États se comportant comme des empires conquérants dans le monde numérique auraient toujours raison, ce qui n'est pas acceptable.

La logique économique et capitalistique peut être entendue, mais la protection des données et le respect de notre souveraineté juridique ne sont pas négociables. A notre connaissance, la Banque centrale européenne a introduit des clauses en ce sens dans des marchés récents. Si cela devait nous conduire à prendre un risque à l'égard d'organisations internationales - aujourd'hui bien mal en point... -, il faudrait l'accepter. Ce sera, là aussi, une parole forte portée par notre commission.

M. Guillaume Poupard- Le label SecNumCloud est né d'une volonté d'offrir un niveau de qualité élevé. Il serait dénué de sens de rechercher des solutions immunes au droit non européen, sans se préoccuper de leur sécurité. Remettons les choses dans le bon ordre : il faut avant tout des solutions sûres et fonctionnelles. Un cloud qui ne fonctionnerait pas correctement, même s'il était parfaitement conforme aux couleurs nationales, ne servirait objectivement à rien.

C'est le discours que je tenais à l'Anssi auprès des industriels français : faites de bons produits, puis mettez en valeur leur caractère souverain et digne de confiance. Ce n'est pas parce qu'un produit est souverain qu'il se vendra, s'il est de mauvaise qualité.

M. Simon Uzenat, président. - Les différentes auditions menées, notamment celles de France Digitale, d'Hexatrust et de différents opérateurs économiques, ont toutes confirmé que la sécurité était au coeur de leur activité et de leurs préoccupations, et qu'ils étaient aujourd'hui largement au niveau.

En tant que garants des intérêts de la Nation, le sujet de la sécurité est évidemment central pour nous, et nous sommes aujourd'hui prêts à affirmer que les solutions françaises et européennes n'ont rien à envier, notamment en matière de sécurité, aux systèmes proposés par des puissances étrangères.

M. Guillaume Poupard. - Il s'agit bien de concilier sécurité et souveraineté. Le label SecNumCloud correspond à un niveau de sécurité élevé, dont tout ne doit probablement pas relever.

Ce référentiel vise à répondre à l'une des obsessions de l'Anssi, liée au fait que le cloud est, pour schématiser, un système au sein duquel de nombreux utilisateurs cohabitent. S'il s'avère que, derrière le client voisin, il y a les services russes, une isolation très forte entre les différents clients sera appréciée. C'est complexe à mettre en oeuvre et il en résultera un coût opérationnel pour les opérateurs, mais nous savons le faire. Cet effort est précisément celui qu'exige la qualification SecNumCloud, car nous faisons cette hypothèse qui peut paraître un peu folle, mais qui est très réaliste dans certains cas.

Cependant, cela ne s'applique pas à toutes les situations : chez Docaposte, où les systèmes de cloud privé internes sont en train d'être refondus complètement, les clients sont les business units de l'entreprise. Sauf très mauvaise surprise, aucune d'entre elles ne travaille pour les services russes, ce qui permet de relâcher certaines contraintes par rapport à SecNumCloud. Pour des acteurs de cloud privé, c'est en revanche plus difficile.

Certains ont pu juger le processus trop compliqué, trop cher, trop long ou trop lourd : c'est le prix à payer pour des systèmes de cloud public véritablement sûrs.

Lorsque j'étais à l'Anssi, je demandais à ceux qui se plaignaient de la complexité de SecNumCloud quelle règle ils souhaitaient supprimer, sans jamais obtenir de réponse intelligente. Tel est, malheureusement, le prix à payer pour disposer de quelque chose de robuste. Or nous avons besoin de construire notre numérique sur des fondations robustes.

Les Amoa sont-ils manipulés ? Ils sont là pour aider leurs clients et pour faire des affaires. J'observe, concernant notre offre NumSpot, que la plupart des acteurs du domaine n'ont pas prétendu vouloir travailler exclusivement avec nous - le contraire serait absurde de leur part -, mais qu'ils nous ont rapidement intégrés à leur catalogue et que nous avons répondu ensemble à des appels d'offres de référencement, notamment pour des centrales d'achat.

À mon sens, les Amoa répondent au marché et à ce que leurs clients leur demandent ; je ne les considère pas forcément comme des suppôts vendus aux acteurs américains ou chinois, même s'il peut exister des contre-exemples. Si le décideur exprime sa volonté d'utiliser du cloud de confiance européen, l'Amoa l'accompagnera pour en acheter et en intégrer. S'en prendre uniquement à ce dernier serait probablement inefficace.

M. Simon Uzenat, président. - Ce n'est pas ce que nous faisons, mais nous avons constaté l'existence de liens parfois très étroits, y compris sur le plan capitalistique, entre certains acteurs, ce qui est d'ailleurs publiquement reconnu dans un certain nombre de cas - et cela peut se comprendre.

M. Guillaume Poupard. - Ils se tournent surtout vers ce qui est efficace, vers ce qui fonctionne et plaît à leurs clients.

M. Simon Uzenat, président. - C'est l'histoire de l'oeuf et de la poule : si la responsabilité politique au plus haut niveau est indéniable, les élus locaux n'ont pas la capacité de structurer des filières à l'échelle de leur territoire, et ne vont donc pas se lancer dans une croisade sur la souveraineté numérique. Ils se fieront aux experts, réels ou supposés, et à la parole des Amoa, lesquels expliqueront que tel système a déjà été déployé avec succès dans plusieurs collectivités de taille équivalente. Même s'ils mentionnent, au fil de la discussion, l'existence d'une solution souveraine, ils insisteront surtout sur celle qui aura déjà été déployée, connue et sécurisée. Certes, le choix revient à la collectivité, mais il y a une orientation.

M. Guillaume Poupard. - Vous avez raison, mais les Amoa sont souvent un miroir renvoyant à leurs clients ce qu'ils veulent entendre. Un bon Amoa aidera un client qui souhaite réellement acheter français à le faire ; en revanche, si le client espère avant tout s'entendre dire qu'il n'y a pas d'autre choix que Microsoft, l'Amoa ne le détrompera pas. Ce n'est d'ailleurs probablement pas son rôle.

M. Simon Uzenat, président. - On pourrait pourtant entendre, dans vos propos sur la sécurité, une forme de prévention - à tout le moins - à l'égard des solutions françaises et européennes, et l'idée que, de l'autre côté, les solutions américaines seraient parfaitement sûres, la souveraineté étant un autre sujet.

Nous jouons un rôle de prescripteurs ou, tout au moins, d'orientation dans la réflexion. De notre point de vue, il ne s'agit pas d'affirmer que tout est de la responsabilité des Amoa, mais ceux-ci font partie d'un système qui a conduit notre pays, et notre continent, à prendre du retard ; nous pouvons collectivement en convenir.

Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 14 h 35.

Problématique de la commande publique dans les collectivités d'outre-mer - Audition de Mmes Karine Delamarche, directrice générale adjointe des outre-mer, Laetitia Malet, déléguée générale adjointe de l'Association des communes et collectivités d'outre-mer (ACCDOM), MM. Anthony Lebon, administrateur et président de la commission BTP-Logement de la Fédération des entreprises des outre-mer (FEDOM) (en visioconférence), et Dominique Vienne, président du Conseil économique et social régional de La Réunion, ancien président de l'association de la stratégie du bon achat et du Haut Conseil de la commande publique de La Réunion (en visioconférence)

Le compte rendu sera publié ultérieurement

Mercredi 28 mai 2025

Audition de M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)

M. Simon Uzenat, président. - Nous reprenons aujourd'hui nos travaux en approfondissant l'étude des enjeux de souveraineté numérique dans la commande publique, un sujet que nous portons avec beaucoup de détermination, à l'initiative de notre rapporteur.

La plupart des témoignages que nous avons recueillis sont convergents : les pratiques actuelles des acheteurs publics, au premier chef l'État, mais également les collectivités territoriales, peut-être moins sensibilisées, ou encore les hôpitaux, ne sont pas à la hauteur des enjeux ou, à tout le moins, pleines de contradictions. C'est tout particulièrement vrai s'agissant de la protection des données publiques hébergées en nuage chez des opérateurs parfois soumis à des législations extraterritoriales. Je tiens ici à préciser que nos critiques des pratiques concernées sont liées au fait que des conditions préalables pour être à la hauteur de ces enjeux, notamment en termes de moyens et d'accompagnement de ces différents acteurs, ne sont pas remplies.

Au sein de l'État, une structure est chargée de protéger les systèmes d'information publics contre les agressions extérieures et de certifier les solutions techniques développées par des éditeurs et destinées à assurer cette protection. Il s'agit de l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui compte près de 660 agents pour faire face à une menace cyber qui s'aggrave. L'Anssi est, pour ce qui intéresse tout particulièrement notre commission d'enquête, l'organisme qui a défini la qualification « SecNumCloud », dont l'objet est d'attester du caractère souverain des offres de cloud proposées par des opérateurs volontaires.

Pour échanger avec nous à ce sujet, nous recevons M. Vincent Strubel, directeur général de l'Anssi.

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je vous rappelle qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »

Conformément à la procédure applicable aux commissions d'enquête, M. Vincent Strubel prête serment.

Notre commission d'enquête cherche à comprendre comment la commande publique peut servir de levier pour faire progresser la souveraineté numérique européenne et pourquoi les acheteurs publics français semblent encore très frileux à cet égard. Comment le travail de sensibilisation que réalise l'Anssi sur le sujet est-il accueilli par vos différents interlocuteurs ? Quelles sont les principales idées reçues que vous devez combattre ?

L'application des législations extraterritoriales, notamment américaines, sur les hébergeurs de données qui sont les prestataires des personnes publiques nous inquiète tout particulièrement. Quel regard portez-vous sur cette menace ? La qualification SecNumCloud est-elle une parade infaillible ? Est-elle surtout adaptée à toutes les prestations d'hébergement attendues par les personnes publiques ? Quelles seraient les autres façons de développer des offres de confiance ?

Je précise que nous avons auditionné hier votre prédécesseur, M. Guillaume Poupard, avec qui nous avons pu commencer à échanger autour de ces enjeux.

Par ailleurs, la transposition prochaine de la directive NIS 2 va faire entrer environ 1 500 collectivités territoriales dans son champ en les qualifiant d'« entités essentielles », à qui s'imposeront des obligations particulières de sécurité de leurs systèmes d'information. Elles feront nécessairement appel à des prestataires extérieurs, dans le cadre de marchés publics, pour les assister. Avez-vous envisagé des mesures, ou au moins des actions de sensibilisation, pour que les grands acteurs américains du conseil digital n'en profitent pas pour asseoir leur position dominante ?

Enfin, nous avons été interloqués - c'est le moins que l'on puisse dire - par la situation de la plateforme des données de santé - le Health data hub - qui est hébergée chez Microsoft Azure depuis sa création. Comment l'Anssi est-elle associée aux travaux en cours visant à la faire migrer vers un hébergement souverain, en application de l'article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi « Sren » ?

M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). - L'Anssi, comme vous l'avez rappelé, est un service à compétence nationale rattaché au Premier ministre.

Notre agence se consacre exclusivement au champ de la cybersécurité et en couvre toutes les dimensions, ce qui nous conduit à jouer plusieurs rôles : nous sommes à la fois experts, porteurs de politiques publiques, opérateurs et régulateurs, et j'aime à nous présenter comme le chef d'orchestre d'une action collective de l'État, du secteur privé et des collectivités territoriales dans le domaine de la cybersécurité.

Notre mission est triple : elle consiste tout d'abord à défendre les systèmes d'information essentiels pour la Nation, en anticipant et en détectant les cyberattaques, et en y mettant fin lorsqu'elles surviennent.

Nous nous chargeons aussi de sécuriser les systèmes d'information de l'État et des opérateurs d'importance vitale, en utilisant le pouvoir d'injonction qui nous est conféré par la loi. Enfin, nous remplissons une mission aux contours plus flous, mais qui est tout aussi importante, à savoir la promotion plus générale de la cybersécurité auprès d'acteurs qui ne sont pas placés sous notre autorité, mais auxquels nous pouvons proposer des formations.

M. Simon Uzenat, président. - Comme vous pouvez le faire avec les parlementaires au début de leur mandat, en les sensibilisant à ces enjeux de cybersécurité.

M.Vincent Strubel. - Vous êtes en effet des cibles. Notre coeur de métier historique consiste à répondre à des menaces venant d'États qui nous espionnent et qui, pour certains, mènent des actions de déstabilisation, voire de sabotage. Ces menaces émanent également, d'une manière plus marquée dans la période récente, d'acteurs du crime organisé, qui peuvent avoir des liens avec des États, mais qui poursuivent une logique principalement lucrative, en cherchant à monnayer le vol de données et en paralysant des systèmes d'information.

S'y ajoute une composante dite « activiste », aux contours plus imprécis dans la mesure où il est question d'acteurs qui mènent des cyberattaques au nom de causes diverses. Ils cherchent la sidération et poursuivent l'objectif de marquer les esprits au service desdites causes - et parfois surtout au profit de leur image personnelle.

Pour ce qui concerne notre rôle dans la commande publique, je rappelle que nous ne disposons pas, sauf cas particulier, d'un pouvoir de contrainte et que nous jouons avant tout un rôle de conseil, avec un coeur de métier historique qui est celui de l'analyse et de l'appréciation des risques.

Nous accompagnons ainsi des entités - administrations, collectivités et acteurs du secteur privé, dont des opérateurs d'importance vitale - afin de les aider à identifier et à évaluer les risques afférents à l'usage du numérique dans tel ou tel cas d'usage. L'acceptation de ces risques relève in fine de la responsabilité de ces entités, puisqu'il s'agit évidemment de concilier cet aspect avec d'autres impératifs, qu'il s'agisse de budget ou de performances.

Notre accompagnement englobe également la conception du système d'information de ces entités, en les aidant dans des choix de solutions et d'architecture, là encore sans imposer des décisions, mais en étant force de conseil, voire d'instruction de questions plus spécifiques.

Cet accompagnement, qui peut être individualisé, revêt en outre une dimension systémique par le biais de la publication d'un certain nombre de guides et de recommandations fixant les principes à respecter dans le choix d'architecture d'un système d'information, par exemple. Je précise qu'un certain nombre de ces guides ont été élaborés à destination des acheteurs publics, afin de les accompagner dans la définition des exigences de cybersécurité : un guide spécifique a ainsi été rédigé en lien avec la direction des achats de l'État en 2019, afin de fixer des clauses types de cybersécurité à inclure dans des marchés publics.

L'ensemble de ces démarches vise à garantir la cybersécurité, notion qui recoupe d'ailleurs celle de souveraineté numérique, mais sans se confondre complètement avec elle.

Notre rôle de conseil renvoie également à notre collaboration, en voie de renforcement avec la direction interministérielle du numérique (Dinum), qui vise à fixer les grandes orientations du numérique de l'État au sens large, notamment au travers de la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État dite « cloud au centre ».

Au-delà de ce rôle de conseil, nous avons vocation à éclairer les choix pour identifier les solutions de qualité et de confiance que nous recommandons, pour certains cas d'usage, à l'État ou aux entreprises. Dans ce cadre, nous nous basons sur des visas de sécurité, qui recouvrent un certain nombre de labels de certification et de qualification applicables à la fois à des produits - pare-feu, logiciels -, mais également à des services d'audit, de détection et de cloud. La qualification SecNumCloud est justement l'un de ces visas de sécurité, définie spécifiquement sur les prestations de cloud.

Je précise que ces cadres de certification et de qualification ne constituent pas des obligations, sauf cas particulier. D'une part, ils relèvent d'une action volontaire des développeurs ou des prestataires de services qui choisissent de se soumettre à une évaluation exigeante, à leurs frais, avec un risque d'échec significatif ; d'autre part, le choix de recourir à une solution couverte par un visa de sécurité n'est pas imposé aux acheteurs, mais recommandé.

Nous l'imposons cependant dans quelques rares cas fixés par la loi : les opérateurs d'importance vitale sont ainsi soumis à certaines obligations dans le recours à des prestations de détection ou d'audit, qui doivent être qualifiées par l'Anssi ; les administrations, quant à elles, doivent se conformer à des exigences en matière de signature électronique et d'identité numérique. Dans le domaine du cloud, la loi Sren va élargir le champ et donner plus de force aux orientations contenues dans la circulaire « cloud au centre ».

Au risque de la marteler, la finalité de ces qualifications et de ces visas de sécurité est la cybersécurité et non pas la souveraineté en tant que telle, les dispositifs n'étant pas réservés à des fournisseurs français ou européens, sauf si une bonne raison le justifie, liée à la cybersécurité : c'est le cas pour la qualification SecNumCloud. Pour autant, dans la pratique, le catalogue de solutions qualifiées par l'Anssi est principalement français et européen.

M. Simon Uzenat, président. - Disposez-vous d'un pourcentage précis ?

MVincent Strubel. - Il est compris entre 80 % et 90 % des solutions, mais nous pourrons affiner ce chiffre.

Toujours au sujet de ces visas de sécurité, je précise que nous portons un niveau d'exigence élevé, car notre plus-value réside dans notre capacité à définir les standards permettant de répondre à des attaquants de niveau étatique.

Notre dernier rôle en lien avec la commande publique consiste à faire émerger des solutions. Notre action se tourne naturellement vers l'écosystème national de fournisseurs privés de solutions de cybersécurité, en veillant à bien séparer les rôles puisqu'il est exclu d'être à la fois juge et partie : les équipes qui délivrent des visas de sécurité ne sont pas les mêmes que celles qui font le lien avec cet écosystème et la politique industrielle au sens large.

Nous intervenons en partenariat avec les acteurs de la politique industrielle, qu'il s'agisse du secrétariat général pour l'investissement (SGPI) dans le cadre du plan France 2030, de la direction générale des entreprises (DGE), en lien avec les comités stratégiques de filière « Industries de sécurité » et « Numérique de confiance », ou encore des campus cyber, qui sont un nouvel espace de rencontre entre les offreurs et les bénéficiaires. Des dispositifs spécifiques dédiés aux visas de sécurité ont été mis en place, par exemple avec l'aide de la DGE et de Bpifrance pour accompagner des petites et moyennes entreprises (PME) vers la qualification SecNumCloud, pour la deuxième année consécutive. Celui-ci a rencontré un franc succès, avec 27 bénéficiaires cette année, contre 21 bénéficiaires l'an dernier.

Par ailleurs, nous menons des discussions avec les fonds d'investissement, afin d'encourager les placements dans des solutions d'avenir dans le domaine de la cybersécurité, en restant prudents et attachés à notre rôle de service public.

Dans le prolongement de cette politique de développement des offres de confiance, nous veillons aussi, en lien avec la direction des achats de l'État et l'Union des groupements d'achats publics (Ugap), au bon référencement des solutions dans les différents catalogues, en particulier de celles qui disposent d'un visa de sécurité, mais plus généralement des solutions françaises.

J'en viens à la directive NIS 2, qui va créer une forte demande de cybersécurité : celle-ci doit naturellement bénéficier en priorité aux acteurs nationaux et européens, mais pas nécessairement par la contrainte. Nous nous efforçons de saisir autant que possible cette opportunité en travaillant avec l'écosystème des développeurs et des prestataires de services nationaux afin que les offres répondent aux besoins ; mais aussi avec les acheteurs, avec l'objectif de définir des clauses spécifiques qui soient applicables par des acheteurs publics, et notamment par les collectivités, qui représenteront une part significative du champ d'application de cette directive.

Pour en venir au cloud, qui est au coeur de vos préoccupations, la conviction de l'Anssi n'a pas varié sur le fait qu'il existe des besoins spécifiques pour le recours au cloud à des hauts niveaux de sécurité, et que certains cas d'usage ne peuvent aller dans le cloud qu'à la condition d'apporter des garanties élevées de cybersécurité, garanties qui ne sont pas nécessairement données par les leaders du marché eux-mêmes ou des solutions sur étagère.

Ce postulat a conduit à la définition de la qualification SecNumCloud, que Guillaume Poupard a déjà évoquée avec vous. SecNumCloud est pour nous le référentiel qui fixe un niveau d'exigence en matière de cybersécurité élevé. Il porte des exigences techniques qui ne sont pas satisfaites par les leaders du marché ; des exigences en matière organisationnelle qui impliquent de clarifier les rôles au sein de l'organigramme du prestataire en termes de relations contractuelles avec le client ; et enfin, ce qui est souvent mis en avant mais ne représente qu'une des 55 pages du référentiel, des exigences sur le droit applicable aux données, qui ne peut être que le droit de l'Union européenne. Autrement dit, le droit extraterritorial est exclu, ce qui permet d'empêcher des acteurs étrangers non européens d'accéder aux données.

Ce dispositif est porté par la conviction que ces exigences forment un ensemble cohérent et indissociable, et qu'il est impossible, en matière de cybersécurité, de séparer les exigences techniques des exigences liées au droit applicable ou de celles organisationnelles : se contenter d'exigences techniques très élevées sans se soucier des enjeux juridiques n'aurait pas plus de sens que d'équiper une maison d'une porte blindée, tout en laissant les fenêtres ouvertes.

Je précise qu'il n'existe pas, selon nous, de contre-mesures techniques permettant de se protéger du droit à portée extraterritoriale : si le chiffrement, la localisation des données et l'anonymisation compliquent peut-être les choses, elles ne rendent pas impossible la captation des données en vertu du droit applicable.

Il n'existe pas plus de contre-mesures de nature contractuelle. Un prestataire américain - ou chinois d'ailleurs - qui promettrait de ne jamais communiquer vos données à une autorité de son pays - qu'il s'agisse d'un juge ou d'un service de renseignement - vous promettrait en fait d'aller en prison à votre place. Je pars du principe qu'on ne peut pas le croire, car il n'a aucun intérêt à le faire.

M. Simon Uzenat, président. - D'après les différents témoignages que nous avons pu recueillir, le fait d'exiger l'immunité aux législations extraterritoriales peut être inscrit dans les cahiers des charges des marchés publics.

MVincent Strubel. - La manière dont est rédigé le référentiel de SecNumCloud offre des garanties qui nous semblent solides sur ce point, avec des critères d'implantation et de capitalisation.

M. Simon Uzenat, président. - La qualification SecNumCloud paraît opportune, mais l'enjeu de la sécurité est peut-être à dissocier de celui de l'immunité aux législations extraterritoriales, qui devrait, selon nous, être généralisée.

M. Dany Wattebled, rapporteur. - Vous venez d'indiquer qu'une société étrangère - américaine ou chinoise - ne pourrait pas s'opposer à une demande visant à transmettre des données à une autorité de son pays d'origine : il n'existe donc pas de garantie de sécurité sur les données stockées sur le cloud d'un hébergeur étranger. Qu'en est-il avec SecNumCloud ?

MVincent Strubel. - SecNumCloud garantit contre la captation par le droit extraterritorial : l'une des fortes exigences de ce référentiel consiste à garantir que les données placées dans un cloud SecNumCloud ne sont soumises qu'au droit de l'Union européenne, à l'exclusion de tout autre.

M. Dany Wattebled, rapporteur. - Vous avez ajouté qu'il est difficilement envisageable qu'un acteur étranger aille en prison volontairement, en refusant de communiquer des données aux autorités dont il dépend.

MVincent Strubel. - J'ai simplement indiqué que seul un prestataire européen peut être qualifié SecNumCloud et qu'il n'existe aucune autre manière, en l'état actuel des possibilités techniques, de se prémunir d'une obligation d'accès qui serait fondée sur un droit extraterritorial.

M. Dany Wattebled, rapporteur. - Microsoft, par exemple, ne peut pas garantir l'absence de transfert de données vers l'extérieur, et ne peut donc pas être qualifié SecNumCloud.

MVincent Strubel. - C'est le fondement des projets comme Bleu, qui consistent à faire héberger la technologie Microsoft par des prestataires français, qui satisfont, dans notre analyse, aux critères de SecNumCloud mais posent d'autres questions en termes de dépendance technologique. Cet aspect ne relève toutefois pas du champ de SecNumCloud, et cette question pourrait se poser au sujet d'autres technologies, comme la virtualisation.

Si une technologie - qu'il s'agisse de Microsoft, de Google ou d'une autre entreprise étrangère - est hébergée par un acteur européen, nous pensons que cette solution offre un bon niveau de garantie sur le fait que l'acteur concerné ne sera pas soumis au droit américain sans voie de recours.

Pour répondre à la question sur la dissociation de la sécurité et de l'immunité au droit extraterritorial, j'ai rappelé que des exigences techniques de niveau élevé n'auraient guère de sens si elles ne trouvaient pas un prolongement dans le domaine du droit. Symétriquement, du point de vue des enjeux de cybersécurité, il n'y a guère de sens à porter une exigence de soumission exclusive au droit européen sans apporter parallèlement des garanties techniques d'un niveau élevé. Dans la réalité, la majorité de la captation des données de nos collectivités, établissements de santé, compagnies d'assurances et entreprises résulte de cyberattaques, basées sur des moyens techniques de contournement des dispositifs de cybersécurité...

M. Simon Uzenat, président. - Ce point revient régulièrement dans les auditions que nous conduisons : plusieurs paramètres doivent être pris en compte, dont la sécurité, ce dont nous sommes parfaitement conscients.

Il nous a été confirmé que l'idée selon laquelle les champions américains seraient les seuls à offrir un niveau de sécurité optimal est fausse, et que le niveau de maturité des opérateurs français et européens est aujourd'hui équivalent à celui de leurs homologues américains. Par conséquent, il est possible de graduer les niveaux de sécurité.

Lorsque j'ai indiqué qu'il fallait dissocier le sujet de l'immunité aux législations extraterritoriales de la question de la sécurité, je n'ai pas souhaité signifier que nous ne considérions pas la sécurité, mais que nous pourrions envisager d'exiger une immunité aux législations extraterritoriales sans nécessairement recourir à la qualification SecNumCloud ; certains acheteurs publics nous ont en effet indiqué que cette qualification n'était peut-être pas nécessaire dans un certain nombre de cas.

Nous tenons en fait à éviter l'écueil qui consisterait à donner l'impression qu'une sécurité maximale ne pourrait être garantie qu'en recourant à SecNumCloud ou à des champions américains. Nous considérons que les préoccupations liées à l'hébergement des données, y compris la sécurité, sont bien prises en compte par les acheteurs publics et les opérateurs économiques de la filière.

MVincent Strubel. - Les acteurs nationaux et européens peuvent en effet apporter un très bon niveau de sécurité technique, mais le rôle de conseil de l'Anssi implique de le vérifier systématiquement, car nous ne pouvons pas partir du postulat qu'un acteur européen apporte par nature les garanties requises. C'est là que réside la plus-value de la démarche basée sur le visa de sécurité, puisqu'un acteur indépendant procède à des vérifications concrètes et ne se contente pas de faire confiance à un discours marketing.

Par ailleurs, je confirme que la vocation du référentiel SecNumCloud est d'apporter un niveau élevé de sécurité : un opérateur d'importance vitale a ainsi vocation à placer ses données dans un cloud ayant obtenu cette qualification et offrant une résistance suffisante face à des acteurs qui s'appuient à la fois sur des leviers juridiques extraterritoriaux et sur de très bonnes capacités techniques.

Des niveaux intermédiaires de sécurité sont bien sûr envisageables, mais, une fois encore, exiger une exposition exclusive au droit européen n'a pas de sens sans l'assortir en parallèle de vérifications techniques. Il est exact qu'un tel choix peut avoir du sens du point de vue de la politique industrielle, mais celle-ci ne relève pas de mon domaine de compétences.

Nous portons ces sujets au niveau européen, avec justement cette perspective de disposer d'une graduation des exigences, avec, par exemple, un niveau élevé - tel que SecNumCloud - et un niveau substantiel.

Nous portons auprès de nos partenaires européens la conviction selon laquelle nous devons couvrir non seulement les questions techniques, mais également celles qui sont relatives au droit applicable. Or cette idée ne fait pas consensus, et s'est même heurtée à différentes formes d'opposition, qui sont pour partie des procès d'intention. Il nous a ainsi été reproché de vouloir faire du protectionnisme - un mot tabou dans certains cercles- ou d'être irréalistes compte tenu de l'écart entre le niveau technique des acteurs européens et celui des entreprises américaines ou chinoises, ce qui est faux, je le répète, mais ancré dans certains esprits. En outre, des acteurs américains ont bien évidemment réagi négativement.

Après être arrivés à un point de blocage en 2024, ces débats reprennent désormais dans un contexte géopolitique différent, ce qui me conduit à faire preuve d'optimisme pour l'avenir et sur le besoin assez largement ressenti, à l'échelon européen, de mieux maîtriser nos dépendances numériques. Je pense qu'il s'agit d'un sujet sur lequel nous allons travailler avec nos partenaires dans le cadre de la nouvelle mandature européenne.

En conclusion, l'Anssi a récemment publié le bilan de son utilisation des 176 millions d'euros qui lui ont été alloués dans le cadre du plan de relance. Elle a ainsi mis sur pied des parcours de cybersécurité qui ont permis à 950 entités publiques - essentiellement des collectivités - d'être accompagnées dans un diagnostic de cybersécurité et dans une démarche de sécurisation.

Le reste de l'enveloppe a été consacré, dans le cadre d'appels d'offres, à l'équipement en solutions de cybersécurité. Cette action a été couronnée de succès, puisqu'elle a abouti, dans 80 % des cas, à un recours à des solutions françaises, qu'il s'agisse de prestataires ou de solutions logicielles.

De surcroît, elle a permis de mobiliser un large tissu d'acteurs - y compris des très petites entreprises (TPE) - sur l'ensemble du territoire, outre-mer compris, avec à la fois une satisfaction des bénéficiaires et un véritable impact sur le niveau de sécurité. J'ai d'ailleurs la conviction que nous avons sauvé des hôpitaux grâce à ces parcours de cybersécurité.

M. Dany Wattebled, rapporteur. - Le fait que vous ne disposiez pas de pouvoir de contrainte, mais simplement d'un rôle de conseil, me renforce dans ma conviction qu'il n'y a pas de pilote dans l'avion de la cybersécurité et que la coordination fait défaut dans ce domaine.

Concernant SecNumCloud, je note que le niveau technique est excellent, mais que l'application d'un droit extraterritorial demeure un obstacle.

Vous avez en outre indiqué avoir encouragé le choix de solutions françaises, mais des écrits et des traces des échanges sont-ils disponibles ? Vous avez sans doute discuté avec les personnes qui ont pris la décision d'héberger le Health data hub chez Microsoft, et avez probablement été partie prenante dans le dossier de Polytechnique, qui a fait héberger des données sensibles.

Il nous serait en effet utile de consulter ces échanges, afin de déterminer si les sociétés françaises ont été mises en avant, car on peut avoir l'impression que nous ne sommes pas capables, à la différence des Américains, d'aider nos jeunes start-ups.

La période actuelle est marquée par un léger revirement dans la mesure où nous sommes désormais engagés dans une guerre économique avec les États-Unis, ce qui conduit à s'interroger davantage sur les données sensibles. Pour en revenir au cas de Microsoft, on a l'impression que les ministères chargés de la stratégie numérique se sont défaussés sur l'Ugap : celle-ci a retenu cette entreprise, qui semble avoir été favorisée. À votre avis, des sociétés françaises auraient-elles pu être retenues à la place de Microsoft ?

MVincent Strubel. - Nous sommes bien le pilote dans le domaine de la cybersécurité. L'Anssi est l'autorité nationale de cybersécurité et dispose d'un pouvoir sur les opérateurs d'importance vitale en vertu des dispositions du code de la défense, pouvoir qui sera étendu aux entités régulées au titre de la directive NIS 2 et du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déjà adopté par le Sénat et qui doit être examiné par l'Assemblée nationale.

Certes, nous ne disposons pas d'un pouvoir de contrainte, et j'estime d'ailleurs que nous n'avons pas vocation à imposer aux entreprises des contraintes dans tous les domaines. Dans le cadre dudit projet de loi, nous sommes d'ailleurs tenus à une transposition « sèche » tenant compte des reproches - parfois légitimes- adressés à l'État sur le fait de surtransposer et d'être plus exigeants que nos voisins, ce qui nuit à notre compétitivité.

Quant à SecNumCloud, j'insiste sur le fait qu'il apporte une forte garantie face à l'application d'un droit extraterritorial. L'infaillibilité n'existe pas dans le domaine de la cybersécurité.

M. Dany Wattebled, rapporteur. - Que se passe-t-il concrètement en cas de demande de transfert de données venant du pays d'origine de la société concernée ?

MVincent Strubel. - Rien n'empêche à un juge texan ou à un service chinois de se tourner vers OVH pour exiger le transfert de telle ou telle donnée.

M. Dany Wattebled, rapporteur. - Je ne parlais pas des sociétés françaises, mais plutôt de Microsoft.

MVincent Strubel. - Cette entreprise ne recevra pas la qualification SecNumCloud.

M. Dany Wattebled, rapporteur. - Cela signifie donc que les données du Health data hub, comme celles qui ont été hébergées à l'extérieur par des établissements d'enseignement supérieur, n'ont pas la labellisation SecNumCloud.

MVincent Strubel. - Il ne s'agit pas de prestataires qualifiés SecNumCloud. Plus généralement, ni la stratégie « cloud au centre » de l'État ni la loi Sren ne fixent d'obligation de recourir à la qualification SecNumCloud : elles imposent une obligation d'analyser la sensibilité des données et de recourir à des prestataires disposant de cette qualification dans le cas où les données présentent une sensibilité particulière.

Il est bien question d'un point d'équilibre dans la mesure où de nombreuses données ne revêtent pas de caractère sensible et n'ont pas vocation à être protégées par un prestataire offrant une sécurité particulièrement élevée, cette dernière entraînant un surcoût. Une offre SecNumCloud coûte ainsi plus cher qu'une offre grand public, ce qui est normal. Il faut savoir retenir un niveau de sécurité adapté, ce qui constitue le coeur de notre activité d'analyse des risques.

Pour ce qui concerne l'Ugap, cet organisme tient à jour des catalogues comportant une pluralité de solutions, dont certaines sont proposées par Microsoft : le large recours à des solutions de cette entreprise au sein de l'État est une réalité qu'il ne m'appartient pas de qualifier de « bonne » ou « mauvaise ».

Notre action vis-à-vis de l'Ugap consiste à nous assurer que les solutions que nous recommandons figurent bien dans les choix des acheteurs publics lorsqu'ils consultent ses catalogues, mais je rappelle qu'il n'y aurait pas de sens à les limiter à des prestataires français, car cela ne permettrait pas de couvrir l'ensemble des besoins, et notamment des besoins d'hébergement de données non sensibles.

Je vous laisserai apprécier l'opportunité de modifier la législation, mais, en l'état actuel du droit, il n'existe aucun motif pour exclure des prestataires tels que Microsoft des catalogues de l'Ugap.

M. Dany Wattebled, rapporteur. - Aurait-il été envisageable de retenir des acteurs français pour assurer l'hébergement du Health data hub ?

MVincent Strubel. - Cette question ne se prête guère à une réponse simple : lorsque le Health data hub a été lancé en 2019, il aurait effectivement été envisageable de recourir exclusivement à des acteurs français, mais avec un coût beaucoup plus élevé et un délai beaucoup plus long, car des développements supplémentaires substantiels auraient été nécessaires pour des fonctionnalités alors absentes des offres des fournisseurs de cloud français.

En repartant de zéro aujourd'hui, serait-il possible de déployer cette plateforme des données de santé avec des hébergeurs français ? Oui, avec à nouveau des coûts un peu plus élevés et une durée un peu plus longue, mais avec un moindre écart qu'en 2019, car les offres ont progressé dans l'intervalle.

Quant à la perspective de sortir la plateforme des données de santé du cloud de Microsoft pour la faire basculer dans un autre cloud, cette démarche est tout à fait réalisable, mais entraînerait des coûts : il faut se garantir des discours simplistes en matière de réversibilité et de portabilité, car de nouveaux développements s'imposeront, une migration de ce type nécessitant un à deux ans de travail, ce qui est loin d'être neutre.

M. Simon Uzenat, président. - Vous n'en êtes en rien responsable des raisonnements de court terme qui ont pu être suivis, et nous interrogerons les ministres à ce sujet. En réalité, des économies de court terme peuvent entraîner des dépenses plus lourdes sur le moyen et le long terme : vous avez évoqué le cas du projet Bleu avec Microsoft, et votre prédécesseur nous a rappelé hier qu'une éventuelle rupture des liens technologiques entre les États-Unis et l'Europe aboutirait à un effondrement de la technologie en question en quelques semaines : on imagine les coûts nécessaires pour pallier ces problèmes, qui seraient évidemment très lourds.

La question qui nous est donc posée nous renvoie aux choix qui ont été faits pour structurer ces filières et les accompagner dans leur développement. Vous avez parlé de l'émergence de solutions et il est peut-être nécessaire d'accepter d'investir massivement au début, tant pour la puissance publique que pour les acteurs économiques, afin d'atteindre ensuite une souveraineté qui nous permettra non seulement de maîtriser les systèmes, mais également d'en réduire les coûts.

Nous ne sommes pas opposés à la transmission de données à un pays étranger, à condition que celle-ci s'opère dans un cadre juridique ouvert, classique, qui respecte les droits de la défense. La législation extraterritoriale est problématique, car elle permet à des puissances étrangères de capter des données sans en informer les propriétaires, mettant ainsi en danger les droits démocratiques les plus élémentaires. L'Ugap doit bien sûr proposer des solutions sécurisées, mais celles-ci doivent être immunes aux législations extraterritoriales. Je le répète : ce n'est pas de votre responsabilité, c'est un enjeu politique.

Mme Catherine Morin-Desailly. - Vous l'avez dit vous-même : lorsque la décision de confier à Microsoft la gestion de la plateforme des données de santé a été prise, d'autres solutions étaient possibles, même si celles-ci auraient coûté plus cher et pris plus de temps. C'était donc un choix politique ; la stratégie industrielle n'a pas été au rendez-vous.

Résultat : nous déplorons aujourd'hui un manque d'autonomie stratégique. La crise sanitaire a mis en évidence notre dépendance à l'informatique en nuage. La situation est la même que pour l'électricité ou le gaz, pour lesquels les prix sont fixés par des acteurs extra-européens.

Le rôle de l'Anssi et de la Commission nationale de l'informatique et des libertés (Cnil) est fondamental : les politiques publiques doivent s'appuyer sur l'expertise de ces deux autorités de régulation indépendante.

Votre rôle a été renforcé par le projet de loi transposant la directive NIS 2, qui doit encore être définitivement adopté par le Parlement. Lors de son examen au Sénat, j'avais défendu un amendement insistant sur l'importance de profiter de cette occasion pour que la filière puisse se développer, et, partant, de renforcer notre autonomie stratégique. Comment travaillez-vous avec la Dinum et les ministères concernés pour utiliser la commande publique comme un levier ?

L'Anssi est citée dans le projet de décret d'application de l'article 31 de la loi Sren. Sa rédaction est alambiquée, à tel point que l'on a l'impression que tout est fait pour ne pas recourir à des solutions françaises ou européennes pour héberger les données sensibles. Qu'en pensez-vous ?

Le décret énumère un certain nombre de critères : le besoin fonctionnel auquel l'offre est en mesure de répondre - cette notion me semble d'ailleurs assez vague -, les conditions financières, les conditions opérationnelles techniques ou les conditions de réversibilité, entre autres. Ne pensez-vous pas que la sécurité devrait primer les conditions financières ? Celle-ci ne devrait-elle pas être une condition préalable et exclusive ?

Enfin, vous nous avez indiqué que Microsoft n'obtiendrait pas la certification SecNumCloud. Qu'en est-il de l'offre de Bleu, qui comporte des technologies de Microsoft, associées à celles d'Orange et de Capgemini ? N'est-ce pas là un montage permettant à Microsoft de continuer à travailler avec l'État ?

M. Jean-Luc Ruelle. - Je rejoins les réflexions de mes collègues. Bien que la menace cyber soit désormais reconnue, sa traduction concrète dans les marchés publics semble insuffisante. Une étude de l'Observatoire des achats responsables montre que moins de 15 % des appels d'offres numériques publics comportent des clauses spécifiques et pondérées liées à la cybersécurité. Cela crée un déséquilibre et fournisseurs les plus exigeants et rigoureux, souvent français, qui offrent des garanties supérieures, ne sont pas favorisés dans les appels d'offres. Les critères de cybersécurité sont-ils aujourd'hui suffisamment intégrés dans les appels d'offres publics ? Sinon, quelle évolution recommandez-vous ?

Je pense que SecNumCloud est une initiative très positive. Cependant, j'aimerais en savoir davantage : quel est le nombre d'entreprises certifiées ? Quelle place occupent ces dernières dans le marché global ?

Il serait également utile d'identifier et de valoriser les bonnes pratiques françaises, comme celles du conseil régional d'Île-de-France, de la métropole de Lyon, de la Caisse nationale d'assurance vieillesse (Cnav) ou de l'Ugap, qui ont mis en place des marchés publics intégrant ces critères de souveraineté et de cybersécurité. Ces initiatives semblent dispersées, sans mutualisation ni doctrine nationale. Peut-être un pilotage permettant de tirer des enseignements de ces expériences fait-il défaut. De même, quels enseignements pouvons-nous tirer des démarches structurées de l'Espagne et de l'Allemagne en matière de cybersécurité ?

M. Vincent Strubel. - Une remarque préalable : l'Anssi n'est pas une autorité indépendante, mais un service du Premier ministre ; elle dépend donc directement du pouvoir exécutif, compte tenu du caractère éminemment régalien des sujets que nous traitons. La coopération avec la Cnil est efficace, dans le respect des rôles de chacun.

Je ne sais pas si la certification SecNumCloud sera ou non accordée à Bleu : je ne préjugerai pas de l'évaluation qui sera menée. Toutefois, rien ne s'y oppose selon notre analyse, dans la mesure où le montage capitalistique associant Capgemini et Orange pour exploiter la technologie de Microsoft est conforme, sur le papier, aux exigences de SecNum Cloud. Dans notre analyse, la technologie de Microsoft tournant dans un cloud appartenant à Bleu - on pourrait dire la même chose de S3NS avec la technologie de Google - ne sera pas soumise à la captation au titre du Cloud Act ou de la loi Fisa (Foreign Intelligence Surveillance Act). Nous avons régulièrement procédé à une étude de ces textes depuis leur parution.

Mme Catherine Morin-Desailly. - Pourriez-vous nous transmettre vos analyses, s'il vous plaît ?

M. Vincent Strubel. - Le Cloud Act ne s'impose pas qu'aux opérateurs de cloud mais à tout opérateur de solutions de communication électronique, y compris WhatsApp, par exemple. Il s'applique, comme le reste de la législation extraterritoriale américaine, à des acteurs qui sont dépositaires des données ou qui en ont le contrôle - en anglais, custody or control of data. Dans le montage prévu pour Bleu, Microsoft fournit la technologie, mais n'a pas accès aux données, qui sont sous le contrôle exclusif d'acteurs européens. Cela permet de cocher la case de l'immunité aux droits extraterritoriaux.

Cependant, cela ne remplit pas l'objectif d'indépendance vis-à-vis des technologies américaines. Il faut bien sûr s'interroger sur notre dépendance quasi exclusive à un certain nombre de technologies, mais c'est un autre sujet, distinct de SecNumCloud et, plus largement, de la cybersécurité.

Même dans un cloud purement français, on retrouve des technologies américaines, comme des machines virtuelles reposant sur le logiciel VMware. L'expérience a montré que les fluctuations des coûts de licence pouvaient être problématiques. Par exemple, lorsque Broadcom a racheté VMware, les coûts de licence ont explosé. Résultat : tous les acteurs en ont été affectés, y compris les fournisseurs de services de cloud français. Ces derniers mettent en oeuvre un arsenal de technologies, mais ils ne sont pas non plus, par nature, totalement protégés de la dépendance à certaines technologies.

M. Simon Uzenat, président. - Nous entendons ces arguments, mais nous ne les considérons pas comme valables. Nous nous intéressons aux méthodes nous permettant de protéger efficacement nos données.

Plusieurs personnes auditionnées nous ont dit que les alternatives ne cochaient pas nécessairement toutes les cases : nous poursuivrions donc une chimère. Or nous restons convaincus qu'il est possible de réunir toutes les conditions nécessaires à la protection de nos données.

J'interprète vos propos comme une invitation à exercer encore plus fortement notre devoir de vigilance, car, même si telle n'est pas votre intention, vous laissez entendre que compte tenu des nombreux trous dans le gruyère, il est vain de viser la perfection. Or le sujet est très sensible : les données sont devenues l'actif stratégique par excellence. Il faut donc mettre tous les moyens pour les protéger efficacement.

M. Vincent Strubel. - Nous sommes largement d'accord, loin de moi l'idée de tenir un discours défaitiste.

SecNumCloud protège les données contre des accès extraterritoriaux, mais ne permet pas de gérer une difficulté plus vaste, à savoir la dépendance à des technologies non européennes ou non françaises. Je ne dis pas ce que SecNumCloud devrait être, mais ce qu'il est aujourd'hui. Nous sommes largement dépendants, je le regrette. Comment y remédier ? Je n'ai pas de solution clés en main. C'est un chantier de long terme qui aura un coût.

J'en viens au projet de décret d'application de la loi Sren, sujet sur lequel je serai prudent en ma qualité de fonctionnaire des services du Premier ministre, ne participant pas aux arbitrages à son sujet. Cela dit, la discussion se poursuit et va au-delà de la version qui a été rendue publique jusqu'à présent, avant son examen par le Conseil d'État.

Définir des exceptions est extrêmement complexe, car une migration vers un nouveau cloud est un processus qui ne se fait pas du jour au lendemain ; en outre, cela a un coût. Il ne faut pas tomber dans le travers inverse, que j'entends beaucoup, autant dans le secteur privé que dans le secteur public, consistant à dire : « Nous voulons migrer vers un cloud souverain, mais seulement quand celui-ci fera exactement la même chose que le cloud de Microsoft, d'Amazon ou de Google, avec le même niveau de performance, les mêmes interfaces et le même coût, voire moins cher si possible. » Cela revient à dire de manière très alambiquée : nous migrerons quand les poules auront des dents. Migrer vers un cloud de confiance européen ou français a un coût, certes moindre qu'auparavant, mais qui nécessite un travail intense de redéveloppement, de spécification, et peut-être de redéfinition d'architecture de différentes solutions. Ce coût est justifié dans beaucoup de cas, mais cela suppose une décision : cela ne peut pas être décrété à l'instant t, cela doit s'inscrire dans une stratégie de long terme.

M. Dany Wattebled, rapporteur. - Vous parlez de coût : à combien le chiffrez-vous ? Si celui-ci s'élève à plusieurs centaines de milliards d'euros, je peux comprendre... À partir de quel montant jugez-vous le coût important ?

M. Vincent Strubel. - Je serais bien incapable de vous formuler une réponse générique. Les projets complexes ayant migré d'un cloud à un autre, tant dans le secteur privé que le secteur public, sont des projets de développement logiciel et d'intégration ayant mobilisé l'essentiel d'une équipe informatique pendant un à deux ans. Leur coût est chiffrable, mais il dépend de nombreux facteurs.

En tout état de cause, un tel projet suppose une décision préalable - que celle-ci émane ou non d'une autorité politique - s'inscrivant dans une stratégie. En la matière, l'État est sans doute plus exemplaire que les acteurs du secteur privé ou que ses voisins européens. La circulaire « cloud au centre » est une exception dans le paysage européen et international, où tous les acteurs ont plutôt privilégié le cloud first : on met tout dans le cloud sans se préoccuper du reste.

Mme Catherine Morin-Desailly. - Certes, mais cela ne doit pas nous exempter du travail que nous menons actuellement, en posant comme objectif politique essentiel l'acquisition de cette autonomie stratégique. Vous évoquez un problème de coût et de temps. Ainsi, nous mesurons à quel point grande est la responsabilité de ceux qui, à l'époque, ont privilégié la facilité du recours à une solution existante plutôt qu'à une réflexion stratégique. Le politique est responsable, c'est pourquoi nous auditionnerons les personnes concernées.

Stéphanie Combes, la directrice de la plateforme des données de santé, nous a indiqué avoir toujours veillé à la réversibilité de son hébergement ; dès lors, j'espère que nous pourrons migrer facilement.

M. Vincent Strubel. - Avec toutefois ce petit bémol que je rappelais tout à l'heure : la réversibilité signifie que vous pouvez récupérer le code logiciel et les données. Mais pour les faire fonctionner dans un autre cloud, il sera nécessaire de redévelopper certains éléments. Certes, la réversibilité est garantie - heureusement, d'ailleurs ! -, mais cela ne rend pas pour autant la transition naturelle. La réversibilité permet d'engager la transition, mais, je le répète, elle a un coût.

M. Simon Uzenat, président. - Mme Combes nous a indiqué que le plan de réversibilité était prêt, mais que sa mise en oeuvre était encore lointaine.

M. Vincent Strubel. - Je ne pourrais pas vous en dire plus, car je ne suis pas responsable de la plateforme des données de santé et je ne connais pas les arbitrages précis qui ont été rendus ; je vous renvoie à ses propos.

Je voulais insister sur l'exemplarité de l'État en la matière, non par vantardise, mais pour souligner l'importance de l'éducation et de la formation des entreprises sur cette question. Il est essentiel de les sensibiliser à l'importance de la protéger les données. J'ai rencontré de grands patrons d'entreprises stratégiques qui me disent : « Ce n'est pas mon problème, je place toutes mes données dans un cloud non européen. » Or ceux-ci devraient se poser la même question que l'État - cela a débouché sur la circulaire « cloud au centre ». Certes, la réponse ou les paramètres seront peut-être différents, mais il y a un travail à mener sur l'identification des données les plus sensibles et des cas d'usage ainsi que sur une architecture de cloud hybride.

Aujourd'hui, aucun acteur de taille suffisante ne devrait se tourner uniquement vers un seul fournisseur de cloud. Tout le monde devrait avoir un portefeuille mêlant plusieurs fournisseurs, là aussi pour des raisons de dépendance et d'enjeux financiers. J'ai la conviction qu'il existe une place pour un cloud de très haut niveau de sécurité - SecNumCloud -, et une place pour d'autres clouds, avec des niveaux de sécurité moins élevés, parce que tout le monde a besoin de mener des expérimentations et d'agir rapidement ; la sécurité de niveau maximal ne se justifie pas dans tous les cas.

Il y a encore des progrès à faire pour traduire les exigences de cybersécurité dans les appels d'offres. Nous avons toutefois avancé sur ce sujet. Notre travail vise à armer les acheteurs publics en leur fournissant des clauses types, en les formant, entre autres. Nous veillons aussi à sensibiliser les décideurs : laisser cette responsabilité aux seuls acheteurs revient à ne pas traiter le problème au bon niveau.

M. Jean-Luc Ruelle. - Quelle est la proportion de marchés publics incluant des clauses de cybersécurité ?

M. Vincent Strubel. - Je ne prétends pas avoir de vision exhaustive en la matière. Nous travaillerons sur ce volet à l'occasion de la transposition de la directive NIS 2 : nous veillerons à ce que l'acheteur puisse facilement respecter les exigences prévues par la directive.

Nous travaillons aussi avec l'écosystème des acteurs français. Nous partageons le même constat que nombre d'acteurs privés : notre pays compte énormément de pépites en matière d'offre de cybersécurité. Toutefois, le paysage est morcelé : c'est là l'une des limites actuelles. Les solutions pour régler ce problème ne proviendront pas uniquement de l'État.

Les grandes entreprises internationales, elles, proposent des solutions complètes. On le constate en consultant le Magic Quadrant de Gartner. En trois clics, vous accédez à tout ce dont vous avez besoin : le pare-feu, le service de détection, les sauvegardes, le conseil, etc. Si vous voulez recourir à une offre française ou européenne, vous êtes obligé de vous tourner vers une multitude de PME, qui proposent certes des solutions de très grande qualité, mais qui ne sont pas rassemblées au sein d'un guichet unique. Les choses progressent, mais nous devons veiller à proposer une offre de services cohérente et combinée. Cela ne passe pas nécessairement par une consolidation de capital et l'État ne peut pas dicter aux entreprises ce qu'elles doivent vendre et comment elles doivent le vendre. Il peut toutefois encourager le mouvement, par le biais des comités stratégiques de filière « Industries de sécurité » et « Numérique de confiance », qui organisent le dialogue entre l'État et les acteurs privés, mais aussi grâce aux campus cyber, qui permettent à tous les acteurs de se retrouver et d'échanger.

Les marchés publics obéissent à des critères visant à garantir la transparence et l'équité de traitement. Mais les entreprises ne connaissent pas nécessairement les raisons de leur éviction lorsqu'elles ne sont pas retenues, au-delà de la note obtenue. Les campus cyber permettent d'organiser une forme de dialogue afin que les entreprises comprennent les raisons de leur échec ; elles seront ainsi plus compétitives lors d'un prochain marché public.

Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.

La réunion est close à 17 h 45.

Audition de M. Gaël Menu, directeur général de SCC France, entreprise titulaire du marché « multi-éditeurs » de l'Union des groupements d'achats publics (Ugap)

Le compte rendu sera publié ultérieurement

Audition de M. Christian Vigouroux, président de section honoraire au Conseil d'État, auteur du rapport au Premier ministre « Sécuriser l'action des autorités publiques dans le respect de la légalité et des principes du droit »

Le compte rendu sera publié ultérieurement