Mardi 10 juin 2025

Présidence de M. Simon Uzenat, président -

La réunion est ouverte à 9 h 05.

Audition de MM. Anton Carniaux, directeur des affaires publiques et juridiques, et Pierre Lagarde, directeur technique du secteur public, de Microsoft France

M. Simon Uzenat, président. - Nous clôturons cette semaine les auditions plénières de notre commission d'enquête avant d'engager la phase de finalisation de nos travaux, qui devrait aboutir à un examen de notre rapport le mardi 1er juillet prochain.

Avant cela, nous poursuivons aujourd'hui l'étude du rôle que la commande publique peut jouer pour promouvoir la souveraineté numérique européenne. Nous avons reçu ces dernières semaines de nombreux acteurs institutionnels et économiques qui nous ont fait part des risques que fait courir, en matière d'hébergement des données publiques, le recours à des opérateurs soumis à des législations extraterritoriales. Dans le même temps, le constat de notre « adhérence », voire notre addiction, à ces mêmes opérateurs ne fait aucun doute.

Nous avions jusqu'à présent entendu des acteurs nationaux du cloud et de l'économie numérique en général. Il nous a semblé indispensable de recevoir l'un des acteurs américains dont les produits et la position dominante ont été mentionnés à plusieurs titres lors de nos auditions, en matière de fournitures d'outils bureautiques, avec Office 365, et d'hébergement des données en cloud, avec la solution Azure, retenue notamment pour la Plateforme des données de santé (PDS) : je veux parler de Microsoft.

Nous recevons donc M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, et M. Pierre Lagarde, directeur technique du secteur public.

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter successivement serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »

Conformément à la procédure applicable aux commissions d'enquête, MM. Anton Carniaux et Pierre Lagarde prêtent serment.

Microsoft est un acteur international dont les logiciels et services font partie de notre vie quotidienne. Cette position dominante, mais aussi l'étendue des fonctionnalités offertes et le haut niveau d'interopérabilité atteint, ont contribué à le rendre incontournable aujourd'hui dans la sphère publique. Pourtant, en tant qu'entreprise américaine, Microsoft est soumise à diverses législations extraterritoriales qui lui imposent de transmettre les données qu'elle héberge aux autorités sans en informer leur propriétaire. Avez-vous pris conscience des difficultés que cela peut susciter aux yeux de vos clients privés, mais aussi de l'État, surtout lorsqu'il s'agit de données sensibles, comme celles de la PDS ?

Pour y remédier, vous avez mis en place un partenariat avec les entreprises Orange et Capgemini pour offrir vos produits dans un cadre souverain, qui bénéficierait de la qualification SecNumCloud, qui n'a pas encore été attribuée à ce jour : c'est le projet Bleu. Pouvez-vous nous en dire plus sur son état d'avancement, ses perspectives de déploiement et surtout son montage juridique, technique et capitalistique permettant à vos solutions d'être, dans ces conditions, immunes face aux lois extraterritoriales américaines ?

Des exemples récents ne nous ont pas rassurés en la matière, comme l'information selon laquelle votre entreprise aurait, à la demande des autorités américaines, bloqué l'adresse de messagerie électronique du procureur de la Cour pénale internationale (CPI). Dans le contexte géopolitique actuel, pourriez-vous être contraints de couper l'accès à vos technologies pour Bleu ? Quelles seraient dans ce cas les perspectives d'exploitation, ou plutôt de survie, de celui-ci ?

D'une manière plus générale, vous pourrez nous faire part de l'approche de votre entreprise à l'égard de la commande publique : s'agit-il d'un relais de croissance dont vous vous saisissez pleinement ou d'une activité plutôt annexe ?

Je vous rappelle que, si vous estimez que des éléments qui vous sont demandés sont couverts par le secret des affaires, vous pouvez refuser de les fournir dans le cadre de la présente audition publique. Vous devrez toutefois les communiquer par écrit à la commission d'enquête.

M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France. - Merci de nous donner l'opportunité de contribuer à vos travaux. Je commencerai par vous présenter brièvement l'activité de Microsoft, avant d'exposer plus en détail certaines de ses spécificités françaises et européennes.

Microsoft est une entreprise technologique dont la mission est de donner à chaque individu et à chaque organisation les moyens de réaliser ses ambitions. Pour ce faire, nous accompagnons la transformation numérique de nos clients, qu'ils soient publics ou privés, à travers différentes solutions : informatique en nuage avec la plateforme Azure, intelligence artificielle (IA) avec Copilot, cybersécurité, matériels informatiques, ou encore outils de collaboration comme Office. Ces technologies sont toutes adaptées aux besoins de nos clients et conformes aux exigences réglementaires françaises.

Il me paraît essentiel de rappeler que, en amont de la commande publique, il existe un vrai besoin public défini par l'État. Le Gouvernement l'a exprimé en mars 2024 dans sa feuille de route stratégique pour la décennie numérique qui comporte plusieurs axes : renforcer les compétences numériques, déployer des infrastructures durables, accélérer la transformation numérique des entreprises et moderniser les services publics.

Cela se traduit par des initiatives concrètes comme la facturation électronique, le guichet unique, l'amélioration du système de santé, y compris au travers de la dématérialisation des aspects administratifs, la lutte contre la fraude fiscale, notamment grâce à l'IA - autant de projets essentiels pour le citoyen, qui nécessitent des capacités informatiques extrêmement robustes en matière de stockage, de traitement et de protection des données.

C'est précisément à ces attentes de la commande publique que Microsoft, comme l'ensemble de son écosystème de partenaires, s'efforce de répondre.

Concrètement, nous proposons des technologies flexibles qui permettent aux entreprises privées et à la commande publique de choisir librement leur mode de déploiement : dans des centres de données opérés en propre par nos clients, mais également par des cloud communautaires de l'État comme Pi au ministère de l'intérieur, au travers de capacités informatiques en nuage souverain comme Bleu, ou encore sur nos infrastructures lorsque la nature des données le permet. Cette flexibilité garantit aux acheteurs un haut niveau de maîtrise, de sécurité et d'interopérabilité pour la gestion de leurs données.

J'en viens aux spécificités que je souhaite mettre en avant. Microsoft est une entreprise solidement implantée en France depuis quarante ans, avec un fort ancrage dans les territoires. Elle exerce un effet d'entraînement important sur l'économie et veille activement à contribuer à l'intérêt général.

Nous comptons aujourd'hui 2 200 collaborateurs et nous nous appuyons sur un écosystème extrêmement solide de 10 500 partenaires, à Paris et en région : entreprises de services numériques, éditeurs, start-ups, acteurs publics et académiques. Ensemble, ils contribuent à faire vivre l'innovation française au quotidien.

Nous avons annoncé en mai 2024, au sommet Choose France, un investissement massif de 4 milliards d'euros pour développer une infrastructure cloud et IA de pointe. À cela s'ajoute un engagement à former un million de Français aux technologies de l'IA d'ici à 2027 et à accompagner 2 500 start-ups dans leur adoption de l'IA. Ces investissements majeurs reflètent notre engagement de long terme en France et permettront, j'en ai la conviction, un alignement sur les ambitions des politiques publiques françaises.

Nous avons une empreinte économique forte et un effet d'entrainement réel. Notre écosystème, qui représente 80 000 emplois en France, s'étend des très petites entreprises (TPE) aux grands groupes, en passant par les petites et moyennes entreprises (PME) et les entreprises de taille intermédiaire (ETI). Tous ces acteurs peuvent développer, intégrer, revendre ou distribuer nos solutions au profit de la commande publique ou des entreprises privées. Pour chaque euro de revenu pour Microsoft, 6 euros de chiffre d'affaires sont générés au profit de l'économie française.

Nous soutenons également l'innovation. En effet, un quart de nos partenaires déposent au moins un brevet sur notre plateforme technologique, et depuis 2008, plus de 6 000 start-ups et entrepreneurs ont été accompagnés par Microsoft en France. Nous avons notamment mis en place des antennes régionales - Nantes, Lyon, Marseille, Bordeaux, Toulouse -, qui sont des carrefours d'innovation dédiés à l'IA. En 2024, nous avons accueillis 10 000 visiteurs : PME, ETI, start-up et autres partenaires. En 2023, nous avons accompagné 65 000 TPE et PME pour intégrer de nouvelles technologies, notamment de l'IA.

Concernant les partenariats technologiques, nous en avons signé un important avec Mistral AI, leader européen des grands modèles de langage. Ce partenariat vise à favoriser l'innovation réciproque. Il permet aussi l'expansion internationale de Mistral et offre aux clients Microsoft un accès aux grands modèles de langage de cette entreprise. C'est un exemple emblématique, mais nous avons d'autres partenariats, car Microsoft croit à la force des partenariats comme vecteurs d'innovation partagée ; ils apportent beaucoup de valeur et de choix à nos clients. À titre d'exemple, sur notre place de marché, nous accueillons de nombreux modèles de langage tiers, y compris des modèles français, ce qui leur donne de la visibilité sur le marché de l'IA.

Du côté de la formation et de l'inclusion numérique, nous sommes très engagés. J'ai mentionné notre objectif de former un million de Français à l'IA d'ici à 2027. Cet engagement s'est concrétisé récemment à travers un site internet qui ouvre l'accès à 200 ressources et qui permet de personnaliser le parcours de formation en fonction du profil de chaque utilisateur.

Nous avons aussi noué des partenariats avec France Travail pour former plus spécifiquement les demandeurs d'emploi à l'IA générative. Nous collaborons également depuis plusieurs années avec Simplon, une entreprise de l'économie sociale et solidaire qui a créé un réseau d'écoles initialement axé sur la cybersécurité et qui s'oriente depuis quelques années vers l'IA. Ces formations sont intensives, gratuites, et visent particulièrement à accroître la représentation des femmes dans le secteur de la technologie.

Autre spécificité importante : notre engagement fort en faveur de la souveraineté numérique européenne et française.

Je souhaite à ce titre répondre à votre question sur ce que nous faisons dans le contexte géopolitique actuel, qui est particulièrement complexe. Le 30 avril dernier à Bruxelles, Brad Smith, notre président, a présenté une série d'engagements structurants pour l'Europe, et bien sûr pour la France : premièrement, développer un écosystème d'informatique en nuage et d'IA de classe mondiale, avec une augmentation de la capacité de nos centres de données en Europe de 40 % d'ici à 2027 ; deuxièmement, garantir la résilience numérique du continent ; troisièmement, protéger à tout prix l'intégrité des données de nos clients ; quatrièmement, renforcer la cybersécurité ; cinquièmement, soutenir la compétitivité et l'innovation ouverte - l'open source - en Europe.

Sur la cybersécurité en particulier, le 4 juin dernier, Brad Smith annoncé le lancement d'un programme européen de sécurité, mis gratuitement à disposition des États membres. Ce programme met l'accent sur le partage accru de renseignements concernant les menaces émanant de certains États hostiles, notamment via l'utilisation de l'IA.

Pourquoi allons-nous aussi loin en matière de cybersécurité ? Parce que, au-delà des enjeux de souveraineté, qui sont bien entendu essentiels, notre priorité est de garantir aux utilisateurs des outils Microsoft, y compris dans le cadre de la commande publique, le meilleur niveau de cybersécurité possible. Depuis trois ans, nous avons énormément investi dans un modèle où, au-delà du stockage des données des clients en Europe, leur traitement s'effectue également exclusivement en Europe, sauf demande contraire explicite de leur part. Autre exemple intéressant : le confidential computing est une solution qui protège les données en cours d'usage, et pas seulement au repos ou en transit. Microsoft ne peut en aucun cas accéder à ces données, sauf autorisation expresse du client.

Concernant Bleu, que vous avez mentionné, il s'agit d'une entreprise totalement indépendante de Microsoft, créée par Capgemini et Orange. Nous sommes fournisseurs technologiques, et nous avons mis en place un système qui permet de séparer cette offre d'informatique en nuage de celle de Microsoft, afin de la protéger de tout effet extraterritorial. À cela s'ajoute une séparation juridique, en vertu de laquelle Microsoft n'est pas présent au capital de Bleu.

Je souhaite partager une conviction profonde : la confiance se gagne sur des années, par un travail constant et patient, mais elle peut se perdre en quelques jours, voire en quelques secondes. Si Microsoft est aujourd'hui une entreprise importante à l'échelle mondiale, et leader en France, c'est parce que nous considérons la confiance comme notre bien le plus précieux. Elle nous oblige et jamais nous ne la compromettrons par un comportement qui ne serait pas conforme aux lois ou aux bonnes pratiques, dans quelque pays que ce soit.

Respecter les règles et protéger les données de nos clients n'est pas du tout une option pour nous ; c'est une obligation qui s'inscrit dans notre politique d'entreprise. J'espère que ce propos liminaire, ainsi que les réponses que nous apporterons à vos questions, sauront vous en convaincre.

M. Dany Wattebled, rapporteur. - Nous vous remercions pour ces explications, qui nous rassurent. Néanmoins, en février 2025, Microsoft a suspendu l'accès aux services de messagerie cloud de la CPI, en réponse à des sanctions américaines paralysant cette institution internationale basée en Europe. Comment justifiez-vous cette décision, alors que Microsoft est censé protéger les données souveraines numériques ? Cela ne prouve-t-il pas que Microsoft privilégiera toujours, avec le Cloud Act, les injonctions américaines à ses engagements envers ses clients européens, y compris les administrations françaises ?

M. Anton Carniaux. - Ce que vous avez pu lire dans la presse à ce sujet est faux, car nous n'avons jamais suspendu ni coupé l'accès aux services de la CPI. La bulle médiatique a contribué à faire croire cette idée, mais ce n'est pas le cas. Nous avons discuté avec la CPI depuis le début pour trouver une solution, sans que cela se traduise par une action de coupure ou de suspension de notre part.

M. Simon Uzenat, président. - Vous dites que cela ne s'est pas traduit pas une suspension. Il y a donc eu un acte en particulier ?

M. Anton Carniaux. - Qui n'est pas de notre fait.

M. Simon Uzenat, président. - Dans l'exécution de cet acte, avez-vous été impliqués ou non ?

M. Anton Carniaux. - Non, nous avons juste discuté avec la CPI. Nous n'avons pas coupé physiquement ses accès.

M. Simon Uzenat, président. - Vous n'êtes pas intervenus d'aucune manière ?

M. Anton Carniaux. - Juste dans un dialogue avec la CPI ; mais pas techniquement.

M. Dany Wattebled, rapporteur. - Microsoft est soumis au Cloud Act, qui permet aux autorités américaines d'accéder aux données stockées en Europe. Comment pouvez-vous garantir, avec des preuves concrètes, que les données des administrations publiques françaises, gérées via les contrats de l'Union des groupements d'achats publics (Ugap), ne seront jamais transmises au gouvernement américain ? Quels mécanismes techniques et juridiques précis empêchent cet accès ?

M. Anton Carniaux. - D'un point de vue juridique, nous nous engageons contractuellement à l'égard de nos clients, y compris ceux du secteur public, à résister à ces demandes lorsqu'elles ne sont pas fondées. Nous avons mis en place un système très rigoureux, initié sous l'ère Obama par des actions en justice contre des requêtes des autorités, qui nous permet d'obtenir des concessions de la part du gouvernement américain. Nous commençons par analyser très précisément la validité d'une demande et la rejetons si elle est infondée. Nous demandons à ce qu'elle soit réorientée vers le client dans la mesure du possible. Lorsque cela s'avère impossible, nous répondons dans des cas extrêmement précis et limités. Je précise que le Gouvernement ne peut pas formuler des demandes qui ne sont pas définies précisément, avec un champ étroit. Par ailleurs, si nous devons communiquer, nous demandons à pouvoir notifier le client concerné.

Ce processus fonctionne très bien, comme en témoignent les rapports de transparence que nous publions deux fois par an. Ceux-ci présentent des statistiques sur les cas auxquels nous avons été confrontés. Or, depuis trois ans, aucune demande en la matière n'a affecté une entreprise européenne.

M. Dany Wattebled, rapporteur. - Qu'est-ce qu'une demande fondée ou non fondée, selon vous ?

M. Anton Carniaux. - Sous l'ère Obama, les demandes pouvaient être très larges, mal définies et peu explicites sur le plan juridique. Cependant, au fil du temps et après avoir porté l'affaire devant la Cour suprême, nous avons obtenu qu'elles soient beaucoup plus cadrées, précises, justifiées et fondées juridiquement.

M. Dany Wattebled, rapporteur. - Lorsque la demande est bien cadrée, vous êtes obligés de transmettre les données ?

M. Anton Carniaux. - Tout à fait, en respectant ce processus. Mais encore une fois, cela n'a affecté aucune entreprise européenne, ou organisme du secteur public, depuis que nous publions ces rapports de transparence.

M. Pierre Lagarde, directeur technique du secteur public de Microsoft France. - Conformément à nos engagements contractuels, nous chiffrons les données au repos, dans les data centers de Microsoft, et en transit, avec des clefs de chiffrement qui ne sont données à aucune entité.

M. Dany Wattebled, rapporteur. - Le Contrôleur européen de la protection des données (EDPS) a constaté en 2024 que Microsoft 365 violait le règlement (UE) 2018/1725 en transférant des données hors de l'Union européenne (UE) sans garanties adéquates. Comment Microsoft France peut-il assurer à nos administrations qui achètent des services via l'Ugap que leurs données personnelles seront protégées ?

M. Anton Carniaux. - Le texte auquel vous faites référence n'est pas le règlement général sur la protection des données (RGPD). Si la philosophie est la même, des nuances peuvent expliquer la position de cette autorité.

M. Pierre Lagarde. - Depuis trois ans, nous avons mis en place un environnement technique pour réduire au maximum le transfert des données et conserver celles-ci sur le sol européen. Depuis janvier 2025, en vertu d'une garantie contractuelle, les données de nos clients européens ne sortent pas de l'UE, qu'elles soient au repos, en transit ou en traitement, ou qu'il s'agisse de données générées par des logs applicatifs, y compris pour la partie support. Ces travaux sont importants pour sécuriser et minimiser ces transferts techniques.

M. Dany Wattebled, rapporteur. - Je poserai une question plus financière. Il est établi que les contrats de l'Ugap avec Microsoft passent par Microsoft Ireland. Pouvez-vous confirmer que toutes les facturations et les données des administrations françaises transitent par l'Irlande, entraînant un manque à gagner sur le plan fiscal ? Si oui, comment la souveraineté numérique française est-elle respectée, sachant que ces données peuvent aussi être soumises au Cloud Act ?

M. Pierre Lagarde. - Sur la partie technique, nous restons dans l'Union européenne. Par conséquent, les scénarios sont exactement les mêmes que ceux que j'ai cités précédemment. S'agissant de la partie locale française, les clients français peuvent aujourd'hui choisir des services qui seront stockés et traités en France, bien qu'il existe d'autres services à périmètre technique européen.

M. Dany Wattebled, rapporteur. - Pour la partie financière, est-ce l'Ugap qui demande que cela soit facturé en Irlande, ou est-ce vous ? Il existe en effet un manque à gagner de TVA pour l'administration française.

M. Anton Carniaux. - Je suis surpris par vos propos, car tous nos marchés sont facturés en France. Et nous ne facturons pas directement les clients publics ; nous facturons nos distributeurs, qui eux-mêmes revendent, via l'Ugap, à des acteurs publics. Ainsi, tout le revenu est localisé en France.

M. Dany Wattebled, rapporteur. - Pourriez-vous nous confirmer par écrit tous les éléments qui concernent ce point ?

M. Anton Carniaux. - Bien sûr .

M. Simon Uzenat, président. - Il nous a été rapporté que Microsoft aurait communiqué, dans le cadre du programme de surveillance électronique Prism, la clé de chiffrement d'Outlook à la National Security Agency (NSA). Confirmez-vous ces éléments ?

M. Pierre Lagarde. - Je ne dispose pas de cette information et ne peux donc vous répondre.

M. Dany Wattebled, rapporteur. - En ce qui concerne le projet Bleu, lancé en partenariat avec Capgemini et Orange, vous nous avez en partie rassurés. Confirmez-vous que Microsoft n'est pas entrée, d'une manière ou d'une autre, au capital de la société Bleu ?

M. Anton Carniaux. - Nous le confirmons, notre société n'y est entrée en aucune façon.

M. Dany Wattebled, rapporteur. - Vous avez indiqué que Microsoft s'était engagée juridiquement contre toute demande inappropriée relative aux données européennes. Dans le cas d'une injonction américaine, qui serait fondée en droit, seriez-vous tenu de transmettre des données ?

M. Anton Carniaux. - C'est la conclusion de ce processus que je vous ai décrit. Lorsque nous sommes obligés de les donner, nous les donnons. Mais aucune des entreprises européennes qui figurent parmi nos clients n'a été concernée par un tel cas.

M. Dany Wattebled, rapporteur. - Monsieur Carniaux, en tant que directeur des affaires publiques et juridiques, vous représentez Microsoft France auprès des décideurs publics. Pouvez-vous garantir devant notre commission, sous serment, que les données des citoyens français confiées à Microsoft via l'Ugap ne seront jamais transmises, à la suite d'une injonction du gouvernement américain, sans l'accord explicite des autorités françaises ?

M. Anton Carniaux. - Non, je ne peux pas le garantir, mais, encore une fois, cela ne s'est encore jamais produit.

M. Simon Uzenat, président. - Dans les rapports de transparence de Microsoft, qui sont le résultat d'une démarche purement déclarative, figurent les éléments que vous voulez bien y faire figurer, et leur réalité n'est attestée par aucun contrôle extérieur. De la même façon, vous dites prendre des initiatives en matière de transmission de données, et nous voulons bien vous croire sur ce point. Pour autant, si vous décidiez de n'informer vos clients français qu'une fois sur deux ou trois, ceux-ci n'auraient aucune possibilité de savoir ce qu'il en est précisément. Pouvez-vous nous le confirmer ?

Notre préoccupation est de comprendre les conditions de mise en oeuvre de ces législations extraterritoriales ; hormis votre bonne foi, quelle garantie pouvons-nous avoir de la mise en place systématique de ces dispositifs ?

M. Anton Carniaux. - Votre question est tout à fait légitime.

Premièrement, dans les rapports de transparence de Microsoft figurent des cas pour lesquels nous admettons avoir communiqué des données, mais aucune entreprise européenne n'a été concernée. Il serait pour le moins étonnant de notre part de biaiser les seuls résultats relatifs à l'Europe. Je tiens donc à vous rassurer sur ce point.

Deuxièmement, le modèle économique de Microsoft a pour objectif de susciter la confiance de nos clients. Si nous ne faisions pas preuve de transparence et que cela devait se savoir, cette confiance serait totalement rompue et des années de travail en ce sens seraient mises à bas.

M. Pierre Lagarde. - Les investissements que nous avons consacrés depuis plus de quatre ans au projet Bleu garantissent l'autonomie complète dudit projet, puisque cette société est à 100 % française.

M. Simon Uzenat, président. - Sur le plan capitalistique, certes, mais pas sur celui de la technologie, puisque celle-ci est fournie par Microsoft... Nombre d'acteurs que nous avons interrogés nous ont confirmé que, si pour une raison pour une autre, les liens technologiques étaient rompus provisoirement ou définitivement entre les sociétés, cette solution pourrait, en l'absence de mise à jour, devenir assez rapidement obsolète. Il est normal que vous défendiez les intérêts de votre entreprise ; pour autant, il y a là une fragilité sur la question technologique.

M. Pierre Lagarde. - L'empilement technologique de l'ensemble des acteurs de l'informatique dans le nuage est tel que la dépendance à l'égard de certaines solutions, dont plusieurs sont américaines, est aujourd'hui un fait. Il est vrai que le projet Bleu sera dépendant d'une pile technologique de Microsoft, mais il faut bien comprendre que nous parlons là non pas seulement d'une infrastructure, mais aussi d'une plateforme et de logiciels, ce qui est techniquement très large, offrira une solution moderne au travers de cette bulle souveraine et permettra de bâtir des projets ambitieux pour l'État et nos start-ups.

Une partie du projet dépend de la technologie Microsoft et une autre est en open source. Microsoft reste un grand contributeur à l'open source pour les solutions cloud ; il faut donc envisager ce sujet dans sa globalité.

Enfin, il y a une séparation technologique complète entre le projet Bleu et les solutions cloud public de Microsoft.

M. Simon Uzenat, président. - Vous parlez d'une séparation technologique complète. Certes, mais il existe malgré tout des briques technologiques qui sont, de fait, propriété de Microsoft. Sinon, le dispositif n'aurait pas été présenté de cette façon.

M. Anton Carniaux. - Microsoft fournit la technologie, mais le centre de données opéré par Bleu sera sa propriété.

Pour ce qui concerne les mises à jour, nous savons que certaines personnes auditionnées par votre commission ont avancé qu'en cas de coupure consécutive à une décision du gouvernement américain, le cloud ne serait plus opérationnel. Ce n'est pas vrai, et cela ne se produirait certainement pas en quelques jours.

M. Pierre Lagarde. - En effet, le cloud resterait opérationnel très longtemps.

M. Simon Uzenat, président. - On nous a parlé de quelques semaines ou quelques mois.

M. Pierre Lagarde. - Pas du tout ; il n'y a aucune raison pour qu'une telle interruption survienne. Le système tournera - comme toute solution relevant aujourd'hui d'un data center hébergé dans une entreprise - tant qu'il sera alimenté en électricité.

M. Simon Uzenat, président. - Pour ce qui est de l'hébergement physique des données, je peux souscrire à vos propos, mais le projet Bleu est bien plus large que ce simple hébergement.

M. Pierre Lagarde. -

La question importante est la suivante : sera-t-on à jour au niveau de la sécurité, au niveau fonctionnel ? Nous avons annoncé que nous déposerions nos codes dans un coffre-fort, en Suisse, afin d'assurer la continuité dans ces cas très extrêmes.

M. Simon Uzenat, président. - Quels que soient les systèmes d'exploitation, il arrive un moment où la solution ne peut plus être mise en oeuvre, comme nous l'ont expliqué des particuliers et des représentants de petites structures. Nous comprenons que Microsoft invoque l'argument de la sécurité, mais dans un cas très concret dont on nous a fait part, la partie applicative de la solution Microsoft Teams, ne fonctionnait plus.

M. Pierre Lagarde. - Un tel scénario ne devrait pas être possible et l'équipe de Bleu conduit des travaux pour que cela n'advienne pas. L'audit de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) préalable à l'attribution de la qualification SecNumCloud devrait confirmer cette déconnexion complète. C'est tout l'enjeu technologique de ce projet.

M. Jean-Luc Ruelle. - Au Danemark, les villes de Copenhague et d'Aarhus ont progressivement rompu leurs relations avec Microsoft. Pour quelles raisons ?

M. Anton Carniaux. - N'ayant pas suivi ce dossier, je ne peux pas vous répondre à ce sujet.

M. Jean-Luc Ruelle. - Des motifs financiers et géopolitiques auraient été invoqués. Il serait intéressant d'obtenir des informations à cet égard.

L'État français concentre 65 % de ses dépenses de cloud sur des solutions certifiées SecNumCloud, parallèlement à une utilisation importante de Microsoft. Comment cela se passe-t-il ?

M. Pierre Lagarde. - Cela fait quarante ans que Microsoft est présent dans le secteur public et toute une gamme de solutions logicielles sont installées dans les data centers de nos clients, notamment ceux des ministères. Ces solutions sont opérées par les différents ministères et ne sont pas des solutions cloud : les lois extraterritoriales ne s'y appliquent donc pas. ,.

Le panel historique des offres logicielles de Microsoft pour le secteur public français demeure aujourd'hui très important. A côté, ses besoins souverains sont couverts par des offres SecNumCloud. Toutes ces offres répondent à l'ensemble de ses besoins. Demain, la mise à disposition de Bleu permettra d'élargir ce panel dans des environnements modernes en vue de répondre aux ambitieux projets de l'État en termes de solutions numériques.

Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 9 h 45.

La réunion est ouverte à 16 h 00.

Audition de Mme Agnès Buzyn, ancienne ministre des Solidarités et de la Santé

M. Simon Uzenat, président. - Notre commission d'enquête, en examinant la question du rôle que la commande publique pouvait jouer afin de promouvoir la souveraineté numérique a été confrontée à un cas particulier, porté à notre connaissance par notre collègue Catherine Morin-Desailly, qui illustre bien les ambiguïtés, atermoiements et contradictions de l'action publique en la matière, à savoir celui de l'hébergement de la plateforme des données de santé (PDS), dite Health Data Hub.

Créée par la loi du 24 juillet 2019 sous forme d'un groupement d'intérêt public, cette plateforme est chargée de mettre à disposition de la recherche les données du système national des données de santé et de promouvoir l'innovation dans l'utilisation des données de santé. Bien que traitant des données particulièrement sensibles nécessitant un niveau de sécurité très élevé, dès sa préfiguration par les services du ministère de la Santé, en 2018-2019, soit avant le vote de cette loi, un arbitrage politique a confié son hébergement à Microsoft Azure, solution soumise aux législations extraterritoriales américaines.

Nous recevons aujourd'hui Mme Agnès Buzyn, ancienne ministre des Solidarités et de la Santé de mai 2017 à février 2020, pour échanger avec nous à ce sujet et comprendre les raisons de ce choix.

Cette audition est diffusée en direct sur le site du Sénat et fera l'objet d'un compte-rendu publié. Je vous rappelle que tout faux témoignage est passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite donc à prêter serment de dire toute la vérité et rien que la vérité. Veuillez, s'il vous plaît, lever la main droite et dire « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, Mme Agnès Buzyn prête serment.

Vous avez conduit le processus de préfiguration de la plateforme des données de santé, sa consécration législative dans la loi du 24 juillet 2019, puis supervisé la création du groupement d'intérêt public (GIP) et les premières étapes de son lancement, qui a ensuite été perturbé par la crise sanitaire. Pourriez-vous nous rappeler le contexte de création de cette structure, ainsi que le niveau de priorité que vous et le gouvernement y attachiez ? Subissiez-vous une pression politique pour faire aboutir rapidement ce projet ?

Nous avons auditionné la directrice de la PDS, Mme Stéphanie Combes, qui a indiqué que le recours à Microsoft Azure avait fait l'objet d'un arbitrage de votre part en mars 2019. Pourriez-vous nous rappeler les conditions dans lesquelles vous l'avez rendu ?

Aucune procédure de mise en concurrence n'a alors été lancée, un achat direct auprès de l'Union des groupements d'achats publics (Ugap) ayant été privilégié, ne permettant donc pas l'émergence d'une offre souveraine concurrente. Six ans plus tard, malgré les promesses et annonces de vos successeurs, aucune migration n'a encore été engagée vers une solution souveraine, et celle-ci, désormais imposée par la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite « SREN », devrait nécessiter au moins une année de travail. Ne pensez-vous pas qu'il aurait été préférable, à l'époque, de faire confiance aux acteurs français et européens pour bâtir avec eux une solution nativement souveraine ? Le coût immédiat aurait peut-être été plus important, mais largement rentabilisé à long terme, comme nous en avons eu confirmation au cours de très nombreuses auditions.

Mme Agnès Buzyn, ancienne ministre des Solidarités et de la Santé. -Je vais vous raconter l'histoire telle que je l'ai vécue. En mars 2018, le député Cédric Villani, mandaté par le Président de la République en 2017, a rendu un rapport public « Donner un sens à l'intelligence artificielle », reconnaissant les atouts de la France en la matière, avec des données sous-utilisées dans quatre secteurs : la santé, les transports, l'environnement et la défense. J'ai totalement adhéré à ce constat. Nous avions en France un système de données de santé centralisé au sein de la Caisse nationale d'assurance maladie (CNAM), le système national des données de santé (SNDS). Nous disposions également de nombreux entrepôts de données hospitaliers, des cohortes de patients pour des études épidémiologiques et des registres de pathologies, qui constituaient des données éparses et non compatibles entre elles. L'idée était de construire un concentrateur de ces données anonymisées pour la recherche et le pilotage du système de santé. Aujourd'hui, un système de santé durable doit être piloté par l'analyse des données. Certains pays étaient en avance sur nous, comme les Etats-Unis, le Royaume-Uni ou Taïwan.

Face au défi de créer ce système centralisé, nous avons mandaté un groupe de travail dirigé par Stéphanie Combes pour concevoir le Health Data Hub, intégré dans la loi de 2019, votée en juillet de cette même année. La question de confier ces données à un opérateur américain s'est posée dès le départ. Nous avons constamment cherché d'autres solutions, approchant huit à dix acteurs, dont Thales et OVH. Après plusieurs mois d'étude, il m'a été indiqué que le choix n'était pas entre Microsoft et un acteur européen, mais entre faire le Health Data Hub avec Microsoft comme hébergeur ou ne pas le faire du tout. Mes services m'ont indiqué qu'aucun autre outil ne pourrait assurer cette fonction avant quatre ans. Nous avons donc imposé deux conditions essentielles : une sécurisation maximale avec des clés de cryptage inaccessibles à Microsoft, et la possibilité de basculer vers un autre hébergeur dès qu'une solution européenne ou française serait disponible. Le marché a été renouvelé tous les deux ans, et mes successeurs ont, à ma connaissance, rencontré les mêmes difficultés. Pour l'instant, ces données sont donc toujours hébergées par Microsoft, sans qu'il soit encore possible de les confier à un autre hébergeur.

Notre décision a donc été de créer ce Hub avec un maximum de sécurité plutôt que d'attendre. Ces sujets ont été largement discutés en commission lors de l'élaboration de la loi d'organisation et de transformation du système de santé, puis à divers moments. Ils n'ont jamais été dissimulés, pas plus que les risques que nous avions conscience de prendre. Le contexte géopolitique, les menaces cyber et les risques de pollution des données ont évolué depuis. Il est aujourd'hui légitime, sept ans plus tard, qu'une commission d'enquête s'interroge sur la perpétuation de notre dépendance à Microsoft, mais en 2018-2019, mes services, que nous avions pourtant sérieusement poussés à étudier d'autres alternatives, indiquait que rien n'était faisable en dehors de Microsoft, sauf à perdre quatre à six ans. Dans cette intervalle, l'intelligence artificielle se serait développée à partir de données étrangères. Je voulais au contraire que les Français soient soignés avec des algorithmes souverains entraînés sur des données françaises, selon nos standards et recommandations, et non sur des données chinoises ou américaines, où les méthodes de suivi et de soin des malades sont différentes. L'objectif est de faire de la prévention personnalisée, de développer des algorithmes de recommandation et mieux piloter le système de santé, de façon à le rendre plus efficient. Ces enjeux sont toujours d'actualité.

Le terme d'atermoiement ne me semble pas adapté. Nous n'avons pas tergiversé mais pris toutes les précautions possibles pour vérifier l'absence d'alternatives. Tous les services, en particulier la Direction de la recherche, des études, de l'évaluation et des statistiques (DREES) ont confirmé, après consultation des opérateurs et équipes de recherche, qu'il était impossible d'opter pour une autre solution, sauf à perdre plusieurs années. Les conditions d'arbitrage étaient les suivantes : faire ou ne rien faire. Cela a été tranché dans la loi. Concernant la mise en concurrence, il existait un marché UGAP avec trois clouds américains - Amazon, Google et Microsoft - et le marché avait déjà été attribué à Microsoft. Il n'y a eu ni enjeu de coût, ni pression politique, uniquement l'envie de servir et l'intérêt général. Où est l'intérêt général dominant : éviter Microsoft au prix de ne pas disposer d'IA française, ou doter la France d'outils performants pour le pilotage du système de santé à base de données françaises. Nous avions considéré à l'époque que l'intérêt général portait plutôt sur ce deuxième aspect. En 2025, avec l'évolution du contexte technologique, l'arbitrage pourrait être différent.

M. Simon Uzenat, président. - Je maintiens le terme d'atermoiement qui désigne bien l'action de reporter dans le temps. Vous n'êtes pas la seule responsable de ces actions ou inactions, même si vous avez initié la création de cette plateforme des données de santé. Les opérateurs que nous avons rencontrés nous ont confirmé avoir seulement reçu, dans le meilleur des cas, un coup de téléphone entre deux portes, ce qui ne constitue pas pour eux une véritable consultation. Vos successeurs ont pris des engagements répétés en 2020, 2022, 2023 et 2024, mais six ans après cette promesse d'hébergement souverain, nous n'y sommes toujours pas.

M. Dany Wattebled, rapporteur. - Merci, Madame la Ministre, pour vos propos préliminaires. Nous sommes partis d'une excellente idée pour nos chercheurs français, nos données françaises et notre souveraineté. Je suis gêné par le fait qu'une solution extraeuropéenne ait été retenue. Puis, en sept ans, rien n'a été fait pour adopter une solution souveraine. En tant que ministre des Solidarités et de la Santé en 2018, vous avez validé la feuille de route du Health Data Hub, incluant le recours à Capgemini comme conseil et Microsoft comme hébergeur. Pouvez-vous expliquer qui, au sein de votre ministère, a proposé Capgemini comme partenaire stratégique et sur quels critères ce choix a été fait avant même le lancement de la mission de préfiguration ?

Mme Agnès Buzyn. - Je n'ai aucun souvenir d'avoir travaillé avec une société de conseil lorsque j'étais ministre. J'ai compris ultérieurement que des marchés publics étaient régulièrement lancés par les ministères, notamment les secrétariats généraux, pour accéder via des bons de commande à des sociétés de conseil sur certains sujets de transformation, notamment dans le numérique, où des compétences particulières sont requises et les ministères particulièrement désarmés. Il est possible que le ministère de la Santé ait eu un marché avec Capgemini à l'époque et que le Health Data Hub y ait fait appel pour sa structuration. Je n'ai pas été impliquée dans ce choix et n'ai pas souvenir d'avoir reçu des notes proposant des cabinets de conseil. Je n'en avais jamais entendu parler jusqu'à présent.

J'ai pris l'arbitrage consistant à retenir Microsoft comme hébergeur en pleine connaissance de cause. Aucune des notes qui me sont remontées n'a évoqué d'autres possibilités. Mes services affirmaient formellement qu'aucun acteur n'offrait ni la capacité de stockage ni les conditions de sécurité de Microsoft. J'ai remis en question ce choix, consciente de son caractère polémique, mais il était nécessaire d'arbitrer. La décision la moins courageuse aurait été d'attendre une solution hypothétique au détriment de notre politique de souveraineté. Quand on est ministre, moins on prend de décisions et moins on est attaqué. J'en suis à ma huitième ou neuvième commission d'enquête parlementaire, et j'en viens à me demander si je ne suis pas l'ennemi public n° 1 de la Nation ! Quand on prend des décisions, on le fait en essayant d'avoir la totalité des informations possibles. Si vous me dites que les notes de mes services n'étaient pas bonnes et qu'il y avait d'autres possibilités, je ne suis pas capable d'en juger. Un ministre fait confiance à son administration.

M. Simon Uzenat, président. - Nous ne jugeons pas la qualité des notes puisque nous n'en avons pas eu connaissance. Nous constatons simplement que ce que certains interlocuteurs au coeur du projet décrivent comme du sourcing n'en était pas selon les opérateurs économiques concernés. Si vous ne posez pas les bonnes questions, ou alors dans des conditions dégradées, et que vos interlocuteurs répondent de façon sibylline, vous pouvez faussement conclure qu'ils ne sont pas en capacité de répondre à vos besoins.

M. Dany Wattebled, rapporteur. - Nous ne vous mettons pas personnellement en cause, mais des acteurs nationaux comme Scaleway ou OVH nous ont affirmé être capables de réaliser cette prestation, ce qui est surprenant. Je pense que cette procédure a été fléchée en faveur de Microsoft. Le choix a été fait sans réel appel d'offres puisque le marché est passé par l'UGAP, contrairement aux règles habituelles de la commande publique. Pouvez-vous confirmer qu'une évaluation formelle a été réalisée avec d'autres prestataires ? J'ai besoin de savoir si cette possibilité d'hébergement a été véritablement proposée à d'autres acteurs français de haut niveau. Avez-vous des documents attestant ces consultations ? S'il vous a été dit que Microsoft était la seule option, avez-vous demandé pourquoi les autres n'étaient pas prêts ou auraient besoin de quatre ans ? J'ai besoin d'éléments d'évaluation concrets pour vérifier si la concurrence a été véritablement explorée. Des acteurs de haut niveau nous ont confirmé, en audition, être capables d'assurer cette prestation.

Mme Agnès Buzyn. - Je n'ai absolument pas la capacité de savoir quelles consultations ont été formellement menées par les services de la DREES. Je dispose de notes de mon cabinet qui sont très techniques. Elles indiquent qu'après consultation des industriels français (Open, Atos, Thales, OVH, Docapost) et analyse de leur offre, Microsoft Azure ressortait comme la seule solution permettant d'obtenir la qualité, de tenir les délais requis et de respecter les contraintes juridiques. Cette solution offrait le meilleur équilibre technique en termes de coûts, délais, sécurité et qualité de service, ce qui avait été confirmé par une contre-analyse de la direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic). Elle assurait également une compatibilité avec les solutions développées par les start-ups qui s'appuient de plus en plus sur du PaaS (Platform as a Service), comme par exemple Deepomatic pour l'annotation d'images indispensable à l'apprentissage d'algorithmes de détection de tumeurs. Les autres hébergeurs semblaient moins performants en termes de sécurité. Je ne suis pas capable d'aller au-delà.

M. Simon Uzenat, président. -Nous vous demanderons communication de ce document.

M. Dany Wattebled, rapporteur. -En 2018, Cédric O, alors conseiller auprès du Président de la République pour le numérique, était un fervent promoteur de l'intelligence artificielle et des partenariats avec les géants technologiques. A-t-il exercé une influence directe ou indirecte sur le choix de Microsoft Azure ? Avez-vous eu des échanges avec lui ou son équipe concernant les orientations pour le HDH ?

Mme Agnès Buzyn. - Je n'ai pas le souvenir d'avoir eu une réunion technique avec Cédric O, ses services ou son cabinet au sujet du HDH. Des échanges ont peut-être eu lieu au niveau des cabinets ou au niveau technique, mais je peux garantir n'avoir subi aucune pression personnelle pour favoriser Microsoft. J'avais la même crainte et inquiétude que vous concernant d'éventuelles polémiques. J'aurais souhaité éviter Microsoft à tout prix, mais tous les services affirmaient qu'il n'y avait pas d'autre solution.

Ce marché a été renouvelé régulièrement depuis, et je pense que tous les ministres de la Santé qui m'ont succédé se sont retrouvés face au même dilemme et ont pris la même décision. S'il s'agissait d'une erreur manifeste de ma part et de mon cabinet ou de mes services, mes successeurs auraient pu rectifier le tir. S'ils ne l'ont pas fait c'est que la solution n'est pas si simple à trouver. Nous avons poussé au maximum la sécurité et le cryptage, travaillé avec l'Agence nationale de la sécurité des systèmes d'information (Anssi), et vérifié notre capacité à basculer vers un autre système pour ne pas être pieds et poings liés avec Microsoft. Je n'ai eu aucune pression ni discussion particulière avec Cédric O à ce sujet.

M. Simon Uzenat, président. - Madame la Ministre, vous dites que le dossier n'est pas simple, nous le comprenons. Cependant, l'absence de réalisation concrète en matière de migration pourrait aussi être liée à une succession d'erreurs ou, pire, à une absence de volonté politique, pas simplement à la complexité du sujet. En 2020, votre successeur affirmait qu'en deux ans maximum, la réversibilité serait assurée et qu'une solution souveraine était en développement. Ces engagements étaient clairement écrits dans des réponses à des questions parlementaires. Les opérateurs économiques que nous avons rencontrés constatent qu'il n'y a pas de volonté politique, avec les moyens adéquats, pour mettre en oeuvre ces solutions souveraines.

M. Dany Wattebled, rapporteur. - Stéphanie Combes, nommée directrice du Health Data Hub en 2019, a joué un rôle central dans la mise en oeuvre technique du projet. A-t-elle agi de façon autonome dans la supervision des choix technologiques, notamment en orientant la sélection vers Microsoft, ou ces décisions étaient-elles systématiquement guidées par votre ministère ou vos collaborateurs ?

Mme Agnès Buzyn. - Je ne peux pas vous répondre précisément. Cela devait dépendre de la sensibilité des décisions. Pour les briques techniques, j'imagine que mon cabinet, composé d'une dizaine de personnes, sans spécialiste informatique, n'a pas nécessairement validé tous les sujets. Concernant le choix Microsoft comme hébergeur, j'assume pleinement que nous avons validé cette décision et que Stéphanie Combes ne l'a pas prise seule. Elle travaillait au sein de la DREES, avec un pilotage par cette direction et en consultation avec d'autres acteurs comme l'ANSSI. J'ai eu une confiance totale en Stéphanie Combes. Six ans plus tard, si rien n'a évolué, je trouverais - si je faisais encore de la politique - politiquement dangereux de ne pas avoir de volonté de quitter Microsoft, surtout actuellement. Je pense que la problématique a été en grande partie technique. Il faudrait être fou politiquement aujourd'hui pour être heureux de se placer entre les mains d'une plateforme américaine.

M. Dany Wattebled, rapporteur. - Je vais passer directement au timing du choix de Microsoft. Des documents internes suggèrent que Microsoft était déjà considéré comme le choix privilégié dès l'été 2018, avant même la finalisation du rapport de la commission de préfiguration. Pouvez-vous confirmer s'il y a eu des discussions avec Microsoft en amont, et si oui, qui les a initiées au sein de votre ministère ou ailleurs ?

Mme Agnès Buzyn. - Je ne peux pas vous répondre. Je n'étais même pas au courant que Capgemini avait été plus ou moins dans la boucle de cette préfiguration.

M. Dany Wattebled, rapporteur. - Ma dernière question est la suivante : en validant un hébergeur soumis au Cloud Act, votre ministère a été accusé de compromettre la souveraineté numérique française, sujet que vous avez pourtant qualifié aujourd'hui et à l'époque de prioritaire. Avec le recul, regrettez-vous d'avoir suivi la recommandation de Capgemini en faveur de Microsoft et assumez-vous personnellement ce choix face aux critiques de la Commission nationale de l'informatique et des libertés (CNIL) et du Conseil d'État ? Aujourd'hui, reviendriez-vous en arrière ?

Mme Agnès Buzyn. - J'assume la décision que j'ai prise avec les connaissances qui m'ont été fournies. Je n'aurais pas pris une décision différente sur la base des documents qui m'ont été fournis à l'époque. On m'a répété que c'était le seul moyen de faire émerger le Health Data Hub sans perdre plusieurs années. Je considérais que nous avions besoin de souveraineté en matière d'intelligence artificielle, notamment d'entraînement de nos modèles sur des données françaises. Le Cloud Act, si j'ai bien compris, vise essentiellement des données nominatives qui portent sur les opérateurs de communication. Les données traitées par le HDH ne sont pas nominatives, elles sont anonymisées.

M. Dany Wattebled, rapporteur. - Toutes les données hébergées par des compagnies américaines peuvent être fournies au gouvernement des Etats-Unis, sur une demande des autorités fédérales.

Mme Agnès Buzyn. - Il me semble avoir compris nous avions une clé de cryptage, que les données étaient anonymes et que le risque de transmission des données à l'étranger était en réalité extrêmement faible du fait de l'anonymisation et du cryptage complet.

L'autre possibilité qui m'a été présentée était de ne rien faire. Les notes étaient claires : soit attendre un hébergeur européen ayant les mêmes capacités, soit utiliser Microsoft. J'ai pris la décision d'utiliser Microsoft avec l'engagement que dès que nous pourrions transférer ces données sur un autre hébergeur, nous le ferions.

M. Simon Uzenat, président. -Avant de passer la parole à nos collègues, je voulais vous lire un extrait d'une note adressée au Comité relatif à l'intelligence artificielle par la plateforme des données de santé, datée du 24 octobre 2023. Page 5 figure la recommandation suivante : « Exiger du gouvernement une position constructive, claire et de long terme concernant les exigences de souveraineté. Il s'agirait d'une part d'assumer de manière réaliste et pragmatique l'autorisation de l'utilisation de solutions étrangères afin de ne pas mettre en péril notre capacité d'innovation. D'autre part, il est nécessaire soit de réellement mobiliser des moyens financiers compatibles avec la montée en compétences des acteurs du cloud souverain, soit de reconnaître que la souveraineté ne pourra pas être atteinte sur toute la chaîne de valeur et d'en tirer les conséquences. » Ces propos interpellent et font écho à ceux que nous avons tenus avec le rapporteur. La plateforme des données de santé semble entendre dans cette note qu'il y aurait un défaut de volonté politique.

M. Daniel Salmon. - Je vais changer de sujet. Nous faisons face périodiquement à des pénuries de médicaments, actuellement des psychotropes, ce qui révèle que notre souveraineté est mise à mal. Avec votre recul, que pensez-vous que la commande publique devrait faire pour que nous puissions disposer d'une production nationale ou européenne ? Vous avez connu l'épisode des masques. Nous pensons que la commande publique a un rôle important à jouer pour nous éviter d'être prisonniers d'acteurs étrangers.

Mme Agnès Buzyn. - J'ai déjà répondu à une commission d'enquête du Sénat sur les pénuries de médicaments il y a environ un an et demi. Les pénuries sont liées à des phénomènes extrêmement complexes. D'une part, la demande a augmenté de façon phénoménale : nous avons doublé la population mondiale en deux générations, augmenté la durée de vie d'environ 20 ans, et trois milliards de personnes sont sorties de l'extrême pauvreté. Nous avons donc triplé ou quadruplé la demande de médicaments et le nombre de personnes susceptibles de les payer, mais aucun producteur n'a augmenté ses lignes de production dans les mêmes proportions.

De plus, l'innovation va vite, notamment en Europe. Les industriels privilégient la production de médicaments innovants à prix élevés plutôt que d'anciens médicaments peu chers. Contrairement à ce que certains affirment, le prix bas des médicaments en France n'est pas la cause principale des pénuries, puisque celles-ci existent aussi dans les pays où les prix sont élevés. L'origine des pénuries se trouve aussi bien dans la production que dans la distribution Je suis convaincue que sans politique du médicament européenne aucun pays ne peut assurer seul sa souveraineté sur l'ensemble des médicaments nécessaires. La pharmacopée évolue constamment ; si vous construisez une usine pour un médicament, elle risque d'être obsolète cinq ans plus tard. Nous avons besoin d'une commande publique européenne, d'une fixation européenne des prix et d'une vision commune des médicaments indispensables. Les médicaments vraiment indispensables ne sont pas forcément ceux auxquels on pense. Ainsi, le doliprane n'est pas vital, contrairement aux corticoïdes par exemple. L'Organisation mondiale de la santé (OMS) a établi une liste de médicaments vitaux, et l'Europe pourrait l'enrichir, notamment pour la chimiothérapie. Cette vision européenne est indispensable. Avec 66 millions d'habitants, l'équivalent de deux villes chinoises, la France est trop petite face au marché mondial. L'échelle pertinente est celle des 450 millions d'Européens.

M. Daniel Salmon. - Cette commission d'enquête porte spécifiquement sur la commande publique. J'entends parfaitement le constat, mais que pouvons-nous faire ? Si nous devons formuler des préconisations, lesquelles seraient pour vous prioritaires pour améliorer notre posture dans les années à venir ?

Mme Agnès Buzyn. - Pour des médicaments invariants comme les corticoïdes, dont nous avons absolument besoin, vous pouvez utiliser la commande publique et constituer des stocks. Pour la plupart des médicaments, en revanche, du fait de l'innovation permanente, commander et stocker ne résout pas tout. Travaillant actuellement avec le secteur de la défense, je constate notre focalisation sur les stocks, alors que la vraie question est celle des flux : comment relancer rapidement une ligne de production lorsque celle-ci est nécessaire ? Les stocks ne permettent jamais de tenir au-delà de quelques mois, notamment parce que les produits se périment. La commande publique est pertinente pour certains produits, mais pas pour tous. Pour ceux qui évoluent rapidement, l'enjeu est d'avoir des lignes de production adaptables et sécurisées pour les Européens.

M. Daniel Salmon. - Je pense que cela dépend justement de la commande publique. Un industriel n'investira que s'il a une visibilité et une certitude qu'il ne se verra pas préférer un concurrent moins cher à l'autre bout du monde.

Mme Agnès Buzyn. - Dans le sens de la sécurisation industrielle, il faut effectivement garantir une stabilité de commande. Cependant, tant que nous n'aurons pas une véritable stratégie européenne, penser pouvoir développer une telle approche à l'échelon national me paraît illusoire.

M. Simon Uzenat, président. - Nous pouvons l'entendre, mais prenons l'exemple des masques, même si vous n'étiez plus ministre à ce moment-là. Nous l'avons vécu en Bretagne : des usines ont été créées mais n'ont pas reçu de commandes publiques. Ainsi, les enseignants recevaient dans leurs casiers des boîtes de masques fabriqués en Chine. Nous sommes conscients que l'échelle européenne est pertinente pour les filières stratégiques, mais l'État et les collectivités françaises ont déjà un effet levier grâce à la commande publique. Sur certains sujets, nous avons les moyens d'aider à l'émergence de filières et de les pérenniser.

M. Jean-Luc Ruelle. - Si je comprends bien, tout démarre en 2017 avec la restructuration des systèmes d'information de santé. Cet enjeu extrêmement important doit intégrer de nombreux aspects : gestion des stocks sanitaires, suivi des investissements hospitaliers, des plans de vaccination obligatoire, réforme des études médicales, prévention, e-santé, téléconsultations, recherche clinique et partenariats public-privé. Avant cette décision qui s'est traduite par l'accord avec Microsoft, quel était le système d'information en place ?

Mme Agnès Buzyn. - Il existait plusieurs systèmes numériques distincts. Pendant une dizaine d'années, le Secrétariat général pour l'investissement (SGPI) a financé, sur appels à projets, des territoires numériques en santé, chacun recevant environ 10 millions d'euros pour développer son propre dossier numérique, son carnet de vaccination, sa plateforme de téléconsultation. En parallèle, le dossier médical partagé peinait à émerger, porté à l'époque par la CNAM.

Considérant que les données de santé allaient devenir un enjeu majeur de pilotage et de souveraineté de l'intelligence artificielle, j'ai souhaité y mettre de l'ordre. J'ai créé une délégation du numérique en santé, mis fin aux territoires numériques éparpillés pour rationaliser la dépense publique, et nous avons développé l'espace numérique en santé dans la loi de 2019. Cette plateforme permet à chaque assuré de centraliser son dossier médical, ses applications de suivi de pathologie, son dossier de vaccination, et de les partager avec son médecin traitant ou d'autres professionnels de santé autorisés. Cela offre une vision partagée du dossier des Français. Aujourd'hui, plus de 10 millions de Français ont ouvert leur espace numérique en santé, que ce soit eux-mêmes, via leur médecin traitant ou en pharmacie. J'ai ainsi essayé de rationaliser et de créer une dynamique autour des données de santé et une vision cohérente.

Je me suis inspirée de ce que j'avais observé lorsque je présidais la Haute Autorité de santé. Après une semaine passée au département d'État américain à la santé pour étudier l'Obamacare, j'avais constaté que les Américains avaient créé une délégation numérique transversale au ministère. Les services informatiques ministériels ne sont pas équipés pour proposer une vision nationale, connaissant seulement leur propre système ou celui des hôpitaux. La création de cette délégation transversale, que je pilotais à l'époque et est devenue aujourd'hui une direction du numérique en santé au sein du ministère, visait à répondre à cette situation.

M. Jean-Luc Ruelle. - Je me demandais justement quel benchmark vous aviez effectué à l'époque, car certains pays ont connu de réelles réussites dans le secteur de la santé en matière de gestion des informations, comme le Royaume-Uni, l'Estonie, le Canada ou l'Allemagne. Par ailleurs, nous sommes aujourd'hui confrontés à un problème avec Microsoft et sommes exposés. Comment faire face à cette situation alors que les technologies et logiciels ont évolué ? Qui peut permettre la pérennisation d'un système de confiance tout en redonnant de la souveraineté à nos données ?

Mme Agnès Buzyn. - N'étant plus ministre depuis cinq ans, je n'ai pas suivi toutes les transformations gouvernementales. Concernant le numérique en santé, nous nous sommes dotés d'une direction de haut niveau dirigée par des personnes remarquables. Nous avons inscrit une vision dans la loi, qui peut évidemment évoluer. Entre l'Anssi et la délégation du numérique en santé, notre pays dispose des ressources humaines et des compétences pour identifier les grandes orientations et faire évoluer les choix de 2017 si nécessaire. Nous avons fait les meilleurs choix possibles à ce moment-là, en nous donnant la possibilité de les faire évoluer. Les compétences existent aujourd'hui au sein du ministère et des administrations. Je ne peux pas vous en dire davantage.

M. Jean-Luc Ruelle. - Tout ce qui concerne le système d'information est considérable. Avez-vous introduit des indicateurs d'évaluation et de mesure de réussite ?

Mme Agnès Buzyn. - Les PROMs (Patient-Reported Outcome Measures) et les PREMs (Patient-Reported Experience Measures) sont des indicateurs de qualité des soins encore embryonnaires en France. Des chercheurs y travaillent, et la Haute Autorité de santé dispose d'un service dédié. L'objectif est de piloter la qualité des soins avec des indicateurs recueillis à la fin d'une prise en charge. Par exemple, après un AVC, qui donne lieu à des hospitalisations et une rééducation, les PROMS sont des indicateurs recueillis auprès des patients pour évaluer la qualité des soins et leur récupération. Ces indicateurs, largement utilisés dans d'autres pays mais peu en France, pourraient permettre de rémunérer les professionnels de santé sur la qualité, et non uniquement sur le volume d'actes. C'est indispensable pour piloter le système, et cela nécessite des données recueillies tout au long du parcours, ce que pouvait apporter le Health Data Hub.

Mme Karine Daniel. - Je trouve très intéressante votre réflexion sur les nouveaux défis qui nous obligent à réfléchir en termes de gestion de flux et de réponse à des crises dont nous ne connaissons ni la nature ni l'ampleur. L'exemple des médicaments est pertinent, les masques nous viennent à l'esprit, mais demain, nous ignorons quels équipements de prévention, de prophylaxie ou de traitement seront nécessaires. Comment la commande publique peut-elle s'adapter à ces éléments imprévisibles dans le cadre de la gestion de crise ? Comment les décideurs publics peuvent-ils se doter d'outils de gestion de crise permettant une forte agilité, sachant que les outils actuels de la commande publique ne sont pas toujours adaptés à cette exigence de rapidité et de régulation soudaine et massive ?

Mme Agnès Buzyn. - Il s'agit d'une question très importante. Nous n'avons pas collectivement fait le retour d'expérience de la pandémie de Covid. Nous pensons encore que les stocks répondent au problème, alors qu'ils ne sont efficaces que pour une durée très limitée. Un stock d'un milliard de masques correspond à une semaine de consommation. La problématique est la même dans le secteur de la défense pour les munitions. La question fondamentale est celle de l'agilité, car la prochaine crise pourrait être totalement différente. S'il s'agit d'Ebola, nous aurons besoin de gants, qui sont fabriqués en Thaïlande, comme les masques étaient fabriqués en Chine, ou de vaccins s'il s'agit de la variole. Face à ce champ des possibles immense, l'enjeu est d'identifier notre capacité à activer des réarmements, des flux et des productions. La question est complexe car il faut d'abord identifier le champ des possibles, qui est en réalité sans fin, puis s'assurer de notre capacité de production. Concernant la commande publique, je fais un parallèle avec le Pandemic Fund créé à la Banque mondiale après le Covid : les pays s'engagent à l'avance à mobiliser des ressources en cas de nouvelle crise sanitaire, sans bloquer d'argent immédiatement. C'est ce type de stratégie qu'il faut privilégier plutôt que de commander spécifiquement masques, gants, vaccins ou antibiotiques sans savoir ce dont nous aurons réellement besoin lors de la prochaine crise.

M. Fabien Genet. - Je voudrais revenir sur le choix de Microsoft pour héberger la plateforme des données de santé. Vous avez dit qu'il faudrait être fou pour un responsable politique aujourd'hui de faire confiance à une solution américaine d'hébergement. À quoi faites-vous référence exactement ? Si vous faites allusion au locataire actuel de la Maison-Blanche, il me semble qu'en 2017, quand vous étiez ministre, il était déjà au pouvoir, avec un rapport au monde qui, s'il s'est aggravé depuis, s'exprimait déjà à l'époque. Comment avez-vous apprécié ce risque à l'époque et intégré la dimension géopolitique dans votre décision ? Si la souveraineté constituait déjà un tel risque et que vous avez été contrainte de choisir Microsoft parce que vos services ne voyaient pas d'alternative, quelles actions avez-vous initiées au sein de votre ministère ou en interministériel pour développer une solution souveraine qui pourrait remplacer cette solution américaine que vous dites avoir été contrainte de choisir ?

Mme Agnès Buzyn. - En termes d'image, aucun gouvernement n'a envie aujourd'hui d'afficher une confiance aveugle dans l'État américain, surtout avec le deuxième mandat du Président Trump qui annonce une possible instabilité. Avant d'accepter cette solution, nous nous sommes assuré qu'il n'existait pas d'autres options. C'est une question de principe : si nous pouvons garder des données sur le territoire français ou européen, nous le préférons à des serveurs hébergés en Europe mais sur un système américain. Je suis préoccupé par le paradoxe actuel : nous sommes tous convaincus qu'il faut protéger les données de santé, mais parallèlement, de nombreux Français utilisent des montres connectées dont les données partent directement vers des hébergeurs étrangers, ou font des tests génétiques interdits par la loi de bioéthique, sans aucun contrôle. Enfin, aujourd'hui, tout le monde parle d'un cloud européen. En 2017, quand j'étais ministre de la Santé, on m'a indiqué qu'il n'existait pas de cloud européen. Je n'ai pas mis en oeuvre de politique de cloud européen, dans la mesure où cela relevait du ministre en charge du numérique.

M. Fabien Genet. - Votre dernière assertion me surprend. Il ne serait pas choquant qu'un ministre ayant des enjeux de souveraineté dans son secteur travaille en interministériel pour trouver une solution commune. Je ne comprends pas clairement votre position : considériez-vous qu'il existait un véritable risque ou non ? Vous nous dites avoir vérifié que toutes les exigences de sécurité étaient respectées avec les clés de cryptage. Faites-vous un mauvais procès à Microsoft alors qu'il n'y aurait finalement aucun problème de sécurité ? Nous n'avons pas de vision claire. Par ailleurs, votre argument sur le problème d'image me fait réagir. Comment considérez-vous le fait que différents ministres de la Santé français ont laissé partir progressivement la production de médicaments en Chine ou ailleurs ? N'y a-t-il pas là aussi un problème de sécurité, de souveraineté et d'image ?

Mme Agnès Buzyn. - La souveraineté se posait également dans mon champ ministériel, notamment pour les outils destinés à la santé. Avoir des IA formées sur des données françaises avec des algorithmes français est un enjeu majeur de souveraineté. C'est pour cela que nous avons créé le Health Data Lub, afin de ne pas dépendre d'algorithmes américains ou chinois. Des algorithmes chinois sont aujourd'hui vendus à des médecins français. La question de la souveraineté se pose donc dans le champ des outils utilisés en santé.

À l'époque, ce que j'ai ressenti était plus un problème d'image que de sécurité, au vu des différents niveaux de protection présentés (échanges avec l'ANSSI, données cryptées et anonymisées). J'étais davantage gênée par notre incapacité à disposer d'un hébergeur français, mais relativement rassurée sur le risque réel. En 2018, cette question ne se posait pas encore. J'étais principalement préoccupée par l'image de ne pas pouvoir recourir à un hébergeur européen plutôt que par des questions de sécurité.

M. Simon Uzenat, président. - Plusieurs experts que nous avons auditionnés nous ont rapporté que le cryptage n'offrait pas de garantie suffisante face aux législations extraterritoriales. Il nous a été indiqué, sans confirmation ce matin, que Microsoft aurait fourni la clé de cryptage d'Outlook à la NSA. Par ailleurs, lors de son audition, Stéphanie Combes, dans les éléments qu'elle a fournis à la suite de son audition, nous expliquait qu'une solution dite souveraine pouvait présenter des problèmes de sécurité, prenant pour exemple les fuites de données intervenues dans divers établissements de santé s'appuyant sur des solutions françaises. Aujourd'hui, les solutions technologiques liées aux environnements Microsoft sont les plus attaquées et présentent le plus de faiblesses. Cette vulnérabilité semble aujourd'hui largement établie.

Vous évoquez par ailleurs les comportements privés. Je rappelle que notre commission d'enquête vise à faire la lumière sur les actions des pouvoirs publics, pas sur des erreurs personnelles. J'ai ressenti dans votre argumentation l'idée que la question de souveraineté ne méritait pas d'être posée puisque nos concitoyens utilisent, par exemple, des montres connectées.

L'enjeu, déjà présent en 2017, est de savoir comment accompagner avec la commande publique la structuration de filières françaises et européennes, comme le font les États-Unis depuis des années. Le Président de la République, en 2017, avait tenu des propos volontaristes en la matière et était à l'initiative de la démarche autour de l'intelligence artificielle. La question est de savoir si les actes sont en cohérence avec les discours.

Mme Agnès Buzyn. - Je me suis mal exprimée. En évoquant les données individuelles que beaucoup abandonnent, je cherchais à souligner à quel point cela me heurte. Dans la loi de bioéthique, je me suis battue pour interdire les tests génétiques alors que beaucoup au Parlement voulaient les libéraliser. Je suis extrêmement sensible à la sécurité des données individuelles des Français.

Concernant les données collectives, j'étais inquiète qu'on ne me propose pas d'alternatives. J'ai renvoyé le travail vers les services à de multiples reprises pour qu'on me garantisse l'absence d'autres solutions. Je ne me souviens plus de la durée exacte de ce processus, mais j'y étais particulièrement attentive. Finalement, on m'a affirmé qu'aucune autre solution n'était possible en termes de sécurité et de capacité. J'ai pris mes responsabilités en arbitrant en faveur de Microsoft, tout en étant extrêmement mal à l'aise, sachant que cette décision serait critiquée. Je ne peux pas garantir une absence totale d'influence dans l'administration, mais j'ai pris mes précautions. Une direction d'administration centrale a travaillé sur ce sujet avec plusieurs personnes et des concertations. On m'a affirmé qu'il n'existait pas d'autres solutions. J'ai choisi d'agir plutôt que de ne rien faire, tout en anticipant les difficultés. C'est pourquoi j'ai veillé à ce que la solution soit modifiable dès qu'une alternative se présenterait. Concernant la sécurité des solutions de Microsoft dans les hôpitaux, je ne peux me prononcer sur sa fragilité face aux tentatives d'hameçonnage.

M. Simon Uzenat, président. - Nous vous demandons de nous communiquer les documents, en particulier la note rédigée par votre cabinet à l'époque, ainsi que tout élément complémentaire pour éclairer vos propos. Nous comprenons que vous n'ayez pas tous les détails en mémoire après cinq ans, mais nous avons besoin de précisions sur les points soulevés aujourd'hui.

Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.

La réunion est close à 17 h 15.

La réunion est ouverte à 17 h 30.

Audition de M. Cédric O, ancien secrétaire d'État chargé du numérique

M. Simon Uzenat, président. - Notre commission d'enquête poursuit ses travaux relatifs au rôle de la commande publique dans la promotion de la souveraineté numérique et à la genèse d'une décision politique qui a été lourde de conséquences en la matière, celle qui a conduit à confier l'hébergement de la plateforme des données de santé (PDS) à Microsoft Azure, solution soumise au droit extraterritorial américain. Ce projet a été imaginé dans les années 2018-2019 dans le but de faire de la France un leader européen de l'exploitation des données de santé au profit de la recherche, alors que notre pays disposait d'un système de collecte parmi les plus avancés au monde, le système national des données de santé (SNDS), mais ne le valorisait pas suffisamment. Paradoxalement, dès l'origine, il semblerait que la solution d'un hébergement souverain pour ce nouvel outil, censé faire de la France un leader de la recherche en santé, ait été écartée au motif que les éditeurs français ou européens ne proposaient pas les fonctionnalités attendues. Nous en avons eu confirmation durant l'audition précédente de Mme Agnès Buzyn, ancienne ministre des solidarités et de la santé.

Nous recevons Monsieur Cédric O, ancien conseiller chargé de l'économie numérique au cabinet du Président de la République et du Premier ministre de mai 2017 à mars 2019, puis secrétaire d'État chargé du numérique du 31 mars 2019 à mai 2022 pour échanger avec lui à ce sujet.

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte-rendu publié. Je vous rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal, soit 75000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite donc à prêter serment de dire toute la vérité et rien que la vérité, à lever la main droite et à dire « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, M. Cédric O prête serment.

Monsieur le Ministre, auprès du Président de la République puis au sein du Gouvernement, vous avez participé à la définition de la politique de souveraineté numérique du pays. Pouvez-vous nous éclairer sur la jeunesse de la PDS et les conditions dans lesquelles l'arbitrage relatif à son hébergement a été rendu ? Des organismes extérieurs comme des cabinets de conseil ont-ils pu avoir une influence sur ce processus ? Nous savons que Capgemini a accompagné la phase de préfiguration de la PDS.

Vous étiez par ailleurs membre du Gouvernement au moment de l'élaboration de la doctrine « cloud au centre », formalisée par une circulaire du Premier ministre du 5 juillet 2021. À quels enjeux répondait précisément cette circulaire ? Quatre ans plus tard, estimez-vous qu'il y a eu une prise de conscience suffisante dans la sphère publique sur les risques suscités par les législations extraterritoriales auxquelles sont soumises certaines entreprises non européennes ? Sur ce dernier point, nous voyons naître des partenariats entre des hyperscalers américains et des entreprises françaises, comme Bleu qui regroupe Orange, Capgemini et Microsoft, ou S3NS avec Thales et Google, afin de proposer des solutions hybrides à la fois souveraines et reposant sur des technologies américaines. Quel regard portez-vous sur leur viabilité ?

Plus généralement, quel rôle devrait, selon vous, jouer la commande publique pour promouvoir l'innovation dans le domaine numérique ?

M. Cédric O, ancien secrétaire d'État chargé du numérique. -Je vais traiter successivement les deux sujets que vous m'avez demandé d'aborder : la souveraineté numérique en général et le rôle de la commande publique, puis les conditions du choix du Health Data Hub (HDH) début 2019.

En matière de souveraineté numérique, soyons lucides : l'Europe et la France courent le risque de sortir de l'histoire et font face à une domination technologique américano-chinoise considérable. Cette domination se traduit par des investissements massifs. Elle s'exprime au quotidien. En effet, les États-Unis et la Chine ont décidé d'investir dans ce domaine des sommes bien plus importantes que l'Europe. Le décrochage date de la crise de 2008. En 2022, 300 milliards d'euros ont été investis dans les start-ups américaines, contre moins de 100 milliards d'euros en Europe et 15 milliards d'euros dans les start-ups françaises. Cela signifie qu'annuellement, les États-Unis investissent 200 milliards d'euros de plus dans leur domination technologique. Vous posez la question de savoir comment la commande publique peut favoriser l'émergence de champions européens. La commande publique de cloud de l'État central ne représente que 130 millions d'euros par an. C'est beaucoup d'argent, mais rien du tout au regard des enjeux : le chiffre d'affaires d'OVHcloud est d'un milliard d'euros, ce qui signifie que même si toute la commande publique lui bénéficiait, son chiffre d'affaires n'augmenterait que de 10 %. Celui d'Amazon Web Services (AWS), leader mondial du cloud, atteint 107 milliards d'euros par an, avec un niveau d'investissement équivalent. Avec l'avènement de l'intelligence artificielle, devenu un des premiers leviers de compétitivité et de souveraineté, le premier risque est donc de se retrouver face à une absence de fournisseurs français ou européens compétitifs dans certaines technologies.

Pour faire émerger des champions technologiques français et européens, trois leviers sont essentiels. Le premier concerne l'écosystème. En 2018, les levées de fonds des start-ups françaises représentaient 3 milliards d'euros. En 2022, elles étaient de 15 milliards d'euros. La construction d'un écosystème de financement en Europe est essentielle. Les Américains bénéficient de fonds de pension représentant des milliers de milliards d'euros, ce qui n'existe pas en Europe. Il faut réfléchir à l'orientation d'une part de l'épargne européenne en faveur des acteurs innovants. Quand j'étais ministre, nous avons passé beaucoup de temps sur ce sujet, ce qui me fut parfois reproché. Nous avons vu émerger dans de nombreux territoires des actifs technologiques et des entreprises qui font aujourd'hui partie de la souveraineté nationale française. Nous avions établi un plan, que j'ai annoncé chez OVH en mai 2021, de 2 milliards d'euros pour le cloud. Si on ne met pas d'argent, dans le contexte budgétaire actuel, dans nos start-ups, la commande publique ne constituera pas un levier de développement suffisant.

Le deuxième sujet est celui de la réglementation. Aujourd'hui, hormis dans des domaines très spécifiques comme la défense, les règles européennes des marchés publics ne permettent pas de favoriser des acteurs nativement français ou européens, ce que je regrette. La réglementation du cloud en matière de sécurité est fixée au niveau européen avec la norme EUCS. Nous menons depuis des années des négociations européennes pour inclure un critère d'insensibilité à l'extraterritorialité dans le plus haut niveau de sécurité de cette norme, mais nos partenaires allemands et néerlandais s'y opposent encore. Actuellement, l'État ne dispose pas de base juridique pour privilégier des fournisseurs français ou européens, hormis dans des cas très particuliers.

Un élément essentiel concerne les abus de position dominante. La domination américaine dans le cloud résulte d'une verticalisation des solutions, qui constitue de facto un tel abus. Les hyperscalers vendent simultanément l'hébergement, les applications et les traitements de données. Sur l'infrastructure pure, tout le monde sait faire des serveurs pour héberger des données. Le retard européen se situe au niveau des applications. Quand Google vend des services, ils sont adossés à son cloud. Microsoft domine le cloud auprès de l'État français et des grandes entreprises en raison de sa position avec Microsoft Office. Très peu d'alternatives existent aujourd'hui à Word ou Excel, et comme Microsoft vend ces logiciels groupés avec une solution de cloud, vous êtes forcés de l'utiliser.

Troisièmement, les achats publics ont un impact important mais limité. Pour une PME de 20 personnes comme celle que j'ai créée, gérer la relation avec l'administration est extrêmement difficile. Les appels d'offres sont trop complexes, trop longs, incertains voire illisibles. Le seuil de mise en concurrence à 40000 euros est beaucoup trop bas pour les start-ups. La culture d'innovation est faible chez les acheteurs publics et privés. Un Small Business Act européen serait le bienvenu, mais il faudra parvenir à convaincre nos partenaires sur le sujet. L'initiative récente « Je choisis la French Tech » est excellente car elle sensibilise les acheteurs publics et ceux des grands groupes.

S'agissant du HDH, j'ai occupé deux positions dans lesquelles j'ai eu à connaître de ce dossier. Observateur jusqu'au 31 mars 2019, en tant que conseiller du Président de la République et du Premier ministre, en charge de l'économie numérique et des participations publiques ; c'est à ce titre que j'ai été informé du choix de recourir à Microsoft Azure pour héberger la plateforme du HDH.Ministre ensuite, avec tutelle sur la direction interministérielle du numérique à compter de cette date et jusqu'au remaniement de juillet 2020. Après cette date, Amélie de Montchalin l'a récupérée, je ne suis plus en charge de la transformation numérique de l'État. Ayant décidé de quitter le service de l'État et de devenir entrepreneur, je n'ai plus accès aux documents dont je vais vous parler. Je vous prie d'excuser quelques éventuelles inexactitudes.

Le projet du HDH a émergé à la suite de la stratégie française pour l'intelligence artificielle de mars 2018, en réponse au rapport Villani, avec l'identification d'une opportunité extraordinaire dans le domaine de la santé. La France possède un atout majeur : deux des cinq plus grandes bases de données de santé au monde, le système national des données de santé (SNDS) et celle de l'Assistance publique - Hôpitaux de Paris (APHP). L'urgence était alors réelle car l'intelligence artificielle évolue très rapidement depuis les percées de 2014 et 2017. Cette année-là la publication d'un article de recherche intitulé « Attention is all you need » a révolutionné ce domaine. Les choses vont extrêmement vite ensuite. ChatGPT, né en décembre 2022, vaut aujourd'hui 330 milliards d'euros. Dans le numérique, le premier arrivé prend tout le marché. Nous avons donc décidé, en 2019, d'avancer très rapidement, pour profiter du fait que nos bases de données étaient plus grandes que celles des américains. Le ministère de la Santé, via la direction de la recherche, des études, de l'évaluation et des statistiques (DREES), a instruit le sujet et pris la décision en mars 2019, alors que je suis encore conseiller du Président de la République et du Premier ministre. La question du choix de l'hébergeur était une question parmi beaucoup d'autres, la principale étant les premiers projets qui allaient pouvoir être traités. Une note du cabinet de la ministre de la Santé recommandait Microsoft après consultation d'une vingtaine d'entreprises. Je me souviens avoir demandé si des hébergeurs français avaient été considérés, et la réponse mentionnait des raisons de cybersécurité et de performance qui favorisaient Microsoft. Je ne dispose plus de cette note, et vous invite à la demander au ministère de la Santé. Quoi qu'il en soit, un conseiller du Président de la République ne peut pas modifier une décision prise sur la base d'une étude objective de l'administration, quoi qu'il en pense, le délit de favoritisme trouvant alors à s'appliquer.

La décision faisait d'ailleurs sens : commencer rapidement avec quelques cohortes via Microsoft pour un à deux ans, en espérant que les solutions françaises rattraperaient leur retard, tout en conservant une réversibilité. Nous avons pris les dispositions techniques la permettant, pour éventuellement migrer vers un cloud français plus tard. Entre mars 2019 et juillet 2020, période où j'avais la tutelle de la Dinum, il fallait mettre en place la solution. Je rappelle que ce dossier relevait du ministère de la Santé et qu'à l'époque chaque ministère était responsable de sa politique numérique. Ce n'est que plus tard que la Dinum a obtenu un droit de veto sur les projets numériques des ministères. La Dinum avait alors considéré que l'analyse technique du ministère de la Santé était valable.

Le paysage du cloud français en 2019 n'avait rien à voir avec celui de 2025. En 2019, les débats étaient dominés par l'échec de CloudWatt et Numergy en 2015-2016, initiative gouvernementale pour faire émerger un cloud souverain avec SFR et Orange qui s'était soldée par une gabegie d'argent public faute de clients. Le sujet de l'extraterritorialité des lois américaines commençait à émerger mais restait peu présent. D'ailleurs, le référentiel SecNumCloud, créé en 2016, ne comportait alors aucun élément d'immunité face à l'extraterritorialité. L'écosystème français du cloud était alors bien moins mature qu'aujourd'hui. Des entreprises comme OVHcloud, Scaleway, Outscale et Clever Cloud n'avaient pas le niveau qu'elles ont maintenant, tant en performance qu'en sécurité. Je rappelle que des problèmes ont été rencontrés chez certains opérateurs français, notamment des pertes de données et des incendies dans des data centers.

Le choix fait à l'époque - je suis d'autant plus à l'aise pour le défendre que je ne l'ai pas pris - était sensé et visait une solution pour un ou deux ans. C'est d'autant plus pertinent que le HDH a été très utilisé pendant la crise sanitaire pour la recherche. Nous n'aurions pas pu le faire si nous n'avions pas choisi Microsoft. Je reste persuadé que nous avons pris la bonne décision.

M. Dany Wattebled, rapporteur. - Votre belle histoire ne me convainc pas du tout. Hors Etats-Unis et hors Chine, point de salut ? Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) ont démarré dans des garages, sans moyens, et la commande publique les a fait grandir. J'ai l'impression qu'on a fait en sorte que les entreprises françaises ne puissent pas concourir, alors que certains acteurs du secteur m'ont affirmé qu'il aurait suffi qu'ils soient sollicités pour qu'ils démontrent être capables de le faire.

Par ailleurs, vous êtes maintenant chez Mistral AI, une superbe licorne qui est un acteur clé de l'intelligence artificielle en Europe et qui a un partenariat avec Microsoft incluant l'infrastructure Azure. Comment Mistral AI équilibre-t-elle ses ambitions de leadership européen avec ce partenariat stratégique ? Quelles mesures protègent les données traitées via Azure contre les risques liés aux lois extraterritoriales américaines ?

M. Cédric O. - Je vous remercie de cette question. Je précise que je ne me suis pas occupé du choix de Microsoft pour le HDH quand j'étais conseiller du Président de la République.

M. Dany Wattebled, rapporteur. - Vous venez pourtant d'en parler et vous étiez conseiller. Vous avez été destinataire de notes. Vous auriez pu demander s'il existait une alternative française ou des acteurs français capables de le faire. Nous avons auditionné ces entreprises : elles affirment qu'avec une commande, elles auraient pu être prêtes. On leur a dit dès le départ qu'elles ne pouvaient pas concourir face aux Américains.

M. Cédric O. - Vous avez soulevé plusieurs questions. Peut-on vraiment accuser le gouvernement d'avoir mal servi les start-ups françaises entre 2017 et 2022 ? Vous êtes élu du Nord, proche de la French Tech Lille. Je vous invite à interroger directement les entreprises de la French Tech Lille ou de la région Bretagne Sud pour savoir si elles sont satisfaites de l'action gouvernementale. Notre action a permis aux entreprises françaises de devenir le premier écosystème en Europe et de faire émerger des champions, ce qui n'était pas le cas avant. Vous pouvez interroger Sam Dahmani, président de la French Tech Lille, à ce sujet.

Concernant Microsoft, Stéphanie Schaer, directrice de la Dinum, a indiqué dans son audition que 95 % des dépenses de cloud de l'État français vont à des fournisseurs français. Peut-on vraiment m'accuser de favoriser Microsoft dans ce contexte ? Pour certains cas particuliers, comme celui évoqué, nous avons fait des choix localisés et temporaires pour des raisons de rapidité, performance et sécurité.

M. Simon Uzenat, président. - Nous avons demandé des précisions sur ces chiffres lors de l'audition mentionnée. Les données fournies ne correspondaient pas à l'exhaustivité des dépenses de l'État en matière de cloud. Nous avons donc été invités à être extrêmement prudents, car beaucoup de chiffres et données n'ont pas été pris en compte.

M. Cédric O. -Concernant Microsoft, son investissement dans Mistral ne représente que 15 millions d'euros, soit environ 1,5 % de notre levée totale de 1,2 milliard d'euros. Microsoft ne fait pas partie quinze premiers investisseurs dans l'entreprise. Lors de nos levées de fonds, c'est Mistral qui choisissait ses investisseurs et non l'inverse. Notre partenariat avec Microsoft est purement commercial, comme ceux que nous avons avec CMA CGM et BNP, qui sont des actionnaires bien plus importants dans Mistral. En tant qu'entreprise internationale, nous déployons nos modèles sur différents clouds : OVHcloud, Microsoft et Scaleway. Mistral reste un champion européen indépendant, créé par des entrepreneurs qui ont quitté de grandes entreprises américaines précisément pour développer une alternative européenne en intelligence artificielle.

M. Dany Wattebled, rapporteur. - Lors de débats sur l'AI Act européen, Mistral AI a plaidé pour un cadre réglementaire favorisant l'innovation. Comment votre entreprise interprète-t-elle les attentes européennes en matière de souveraineté technologique dans ses choix stratégiques, notamment en matière d'infrastructure ? Avez-vous envisagé des partenariats avec des acteurs européens comme OVHcloud ou Scaleway, certifiés SecNumCloud, pour renforcer l'indépendance technologique de Mistral ?

M. Cédric O. - Oui, nous avons des partenariats avec Scaleway, un partenariat important avec Outscale, filiale de Dassault Systèmes, et nous travaillons avec OVHcloud pour rendre nos modèles disponibles sur leur plateforme.

La question européenne en matière d'intelligence artificielle est cruciale, car il serait erroné de séparer cloud et intelligence artificielle. Si nous utilisons une intelligence artificielle américaine, nous utilisons nécessairement du cloud américain. Il est donc indispensable de développer des usages d'intelligence artificielle dans les entreprises européennes avec des fournisseurs européens, qu'il s'agisse de Mistral ou d'autres acteurs comme H ou Aleph Alpha en Allemagne. Je m'inquiète que la Commission européenne puisse subventionner des projets de data centers sur le sol européen mais non détenus par des entreprises européennes. La Commission devrait privilégier, dans ses projets de gigafactory, le financement des entreprises européennes, au vu surtout des montants significatifs annoncés, de 500 millions à 2 milliards d'euros, qui sont hors de portée des États. L'Europe doit jouer son rôle dans les subventions et les commandes en intelligence artificielle et en cloud. Malheureusement, comme je l'ai exprimé à de nombreuses reprises, les réglementations européennes actuelles ne favorisent pas le développement d'une intelligence artificielle européenne ni son utilisation par les acteurs européens.

M. Dany Wattebled, rapporteur. - Concernant la protection des données, Mistral AI collabore avec Alan, qui a remporté des marchés importants comme celui du ministère de l'Économie et des Finances, couvrant plus de 130000 agents soumis à des réglementations strictes comme le RGPD et la certification HDS. Comment vous assurez-vous que vos modèles d'intelligence artificielle, potentiellement déployés via Azure, respectent ces normes et protègent les données des citoyens ? Par ailleurs, les liens entre Alan et Mistral ont-ils facilité l'obtention des marchés face aux anciennes mutuelles importantes comme la Mutuelle générale de l'éducation nationale (MGEN) ?

M. Cédric O. - Concernant les liens avec Alan, certains cofondateurs de Mistral AI sont également cofondateurs d'Alan. Il n'existe pas aujourd'hui de lien technologique entre les deux entités, seulement des personnes qui se connaissent. Quant aux liens financiers, ils sont minimes : initialement environ 2 % pour les fondateurs, et après dilution, moins de 1,5 % aujourd'hui du capital de Mistral AI appartient à Alan. Alan utilise partiellement des modèles Mistral AI mais recourt aussi à d'autres modèles en fonction de ses besoins, notamment pour la voix, ce que Mistral AI ne fait pas. J'ai toujours encouragé l'État à commander auprès des start-ups françaises, mais je ne peux critiquer des choix gouvernementaux faits en toute indépendance.

M. Dany Wattebled, rapporteur. - Pour quelle raison les ministères ont-ils privilégié Alan face aux anciennes mutuelles comme la MGEN ou d'autres mutuelles historiques pour les fonctionnaires ?

M. Cédric O. - Je n'en ai aucune idée.

M. Simon Uzenat, président. - Nous étions à Bruxelles le 12 mai dernier et avons rencontré la DG Grow et le cabinet du vice-président Stéphane Séjourné sur cet enjeu de l'affirmation d'une préférence européenne dans le cadre de la révision des directives sur les marchés publics, qui dépasse la seule question de souveraineté numérique. L'Europe doit cesser d'être à la traîne alors que les États-Unis mobilisent leur commande publique depuis des décennies. La réponse de la Dinum reçue aujourd'hui précise que les 145 millions d'euros ne constituent pas une dépense annuelle mais le budget du marché interministériel d'informatique en nuage, piloté par l'Union des groupements d'achats publics (Ugap) d'octobre 2020 au 31 mai 2025. Ce montant est relativisé par des lacunes dans les remontées de données et l'exclusion des solutions de software as a service (SaaS) et d'autres structures du périmètre.

Je suis interpellé par votre affirmation qu'il n'était pas possible de s'écarter de la recommandation formulée par l'administration dans sa note. En tant qu'élu régional, quand des services présentent des éléments contraires à une volonté politique, il s'agit d'approfondir le travail et d'interpeller les différents acteurs qui ont contribué à l'élaboration de cette note. Les représentants d'OVHcloud nous ont rapporté n'avoir eu qu'un contact téléphonique informel au moment du choix de Microsoft pour héberger le HDH, ce qui paraît léger face à la volonté affirmée par le Président de la République en 2017. Le chemin qui a mené à votre conclusion n'a peut-être pas exploré toutes les solutions possibles. Depuis 2019, nous constatons un manque de volonté politique, avec des ministres qui promettent la réversibilité en 2020, puis 2022, 2023, 2024, sans que cela soit réalisé. La question est de savoir si, avec une réelle volonté politique et les moyens nécessaires, nous n'aurions pas plutôt pu structurer cette filière au lieu d'attendre et de constater notre retard.

M. Cédric O. - Si la question se reposait aujourd'hui, la réaction collective serait probablement différente. Il faut replacer cette décision dans le contexte de 2019. À cette époque, la French Tech, OVHcloud et les relations franco-américaines étaient très différentes. Je ne prétends pas que personne ne s'est posé la question de l'extraterritorialité. Toutefois, même si j'avais voulu changer cette décision, je n'aurais pas pu le faire. Par exemple, pour l'application TousAntiCovid, qui contenait de très nombreuses données sensibles et a connu 50 millions de téléchargements, nous avons voulu passer par un acteur français qualifié SecNumCloud, Outscale, selon une procédure d'urgence. Des signalements pour favoritisme ont alors été adressés au parquet national financier ! Quand un responsable politique reçoit une note administrative avec un classement entre des prestataires, il peut poser des questions, mais s'en écarter est délicat. La politique d'État doit se juger à un niveau plus global : favorisons-nous les acteurs français dans l'ensemble des marchés publics ? Aujourd'hui encore, je pense que la recommandation sur l'hébergement du HDH faisait sens. J'ai un grand respect pour Octave Klaba, ce qu'il a bâti et OVHcloud, j'estime que la France a la chance de les avoir, mais sur ce point précis, je pense sincèrement que le choix fait en 2019 avait du sens, même si je n'en suis pas directement responsable.

M. Simon Uzenat, président. - Pour clarifier, la note dont nous parlons n'était pas un classement comme dans une commission d'appel d'offres. Il s'agissait d'une évaluation de l'environnement économique concluant qu'une seule solution répondait aux objectifs fixés. Notre critique porte sur ce point précis : les alternatives n'ont pas été suffisamment explorées. Il ne s'agit nullement de favoritisme. L'État a par ailleurs un rôle d'entrainement, de structuration des filières à jouer bien plus important que les collectivités locales.

M. Dany Wattebled, rapporteur. - Je reviens sur votre préambule, selon lequel on ne peut rien faire. Vous démontrez vous-même qu'avec l'intelligence artificielle, il est possible de rattraper la bataille même si nous avons manqué le virage du numérique. Dans le contexte géopolitique actuel, avec le second mandat Trump, des guerres ouvertes et souterraines, pensez-vous qu'il était judicieux de transmettre toutes nos données administratives, un trésor de guerre en matière de santé ou d'éducation à des entreprises soumises à des lois extraterritoriales ? N'y a-t-il pas nécessité d'inclure dans nos marchés publics une clause de souveraineté, a minima européenne ? Nos entreprises ne sont pas en demande de subventions, mais de commandes. Si nous leur fixons des objectifs clairs avec un délai, elles sont prêtes à s'engager, même avec des pénalités, pourvu que la commande soit confirmée.

M. Cédric O. - Je n'ai jamais voulu suggérer que tout était perdu. Au contraire, je crois tellement au combat pour la souveraineté que j'ai créé deux entreprises françaises dans l'intelligence artificielle plutôt que de rejoindre une grande entreprise américaine. Pour mener ce combat, il faut être lucide et faire des choix difficiles. Les Américains investissent dans leur domination mondiale l'argent que nous mettons dans notre modèle social. Nous entrons dans une ère de hard power qui imposera des choix entre investir dans notre domination technologique et nos entreprises de défense ou dans notre niveau de vie. Nous avons des entrepreneurs extraordinaires en France qui ont effectivement besoin de marchés, pas seulement de subventions. L'élection de Donald Trump a changé la donne. Je suis désormais convaincu qu'une part de préférence européenne dans les marchés publics est nécessaire, et même pour certains usages des grands groupes privés français. Le point central du combat se joue au niveau européen avec EUCS : si nous n'arrivons pas à y intégrer une immunité extraterritoriale, tous nos efforts seront vains.

M. Fabien Genet. - Vous estimez encore aujourd'hui que le choix de Microsoft à l'époque se justifiait. Pourriez-vous réexpliquer pourquoi en quelques mots ?

M. Cédric O. - À l'époque, nous avions pris une décision temporaire pour démarrer rapidement en mettant la plateforme à disposition. Microsoft offrait à ce moment davantage de sécurité et les chercheurs pouvaient plus rapidement faire tourner leurs algorithmes dessus. Je précise que nous n'avons jamais transféré l'intégralité du SNDS. Seules certaines cohortes sont mises dans le HDH, avec les données SNDS correspondantes. La base complète de l'Assurance maladie n'est pas disponible dans le HDH. Nous avons assuré la réversibilité pour ne pas être liés définitivement à Microsoft. L'objectif était de permettre à nos chercheurs d'avancer rapidement pendant deux ans, tout en laissant nos acteurs français se développer.

M. Fabien Genet. - De façon contractuelle, dans le cadre d'un contrat avec Microsoft pour l'hébergement de ces données, quelles sont leurs obligations en termes de protection ? En quoi le fait qu'il s'agisse d'une entreprise américaine présente-t-il un risque, et comment l'appréciez-vous ?

M. Cédric O. - Je ne connais pas exactement les conditions de passation du marché, cette partie ayant été gérée par le HDH. De mémoire, ils étaient les seuls labellisés hébergeurs de données de santé (HDS, offrant des garanties en termes de sécurité et de mise à disposition. Je n'ai pas géré personnellement la partie purement légale de cette mise à disposition.

M. Fabien Genet. - En tant que citoyen, quelle garantie m'est donnée de savoir que mon gouvernement organise cet hébergement par une entreprise étrangère ? Existe-t-il un risque que le gouvernement étranger correspondant à la nationalité de l'entreprise puisse accéder à ces données ?

M. Cédric O. - De facto, il existe toujours un risque, même avec une entreprise française. La domination américaine des technologies du cloud est telle, y compris chez certains hébergeurs français, qu'il n'est pas possible de fonctionner sans ces technologies. La seule manière de n'avoir aucun risque serait de tout héberger soi-même, sans recourir au cloud.

M. Dany Wattebled, rapporteur. - Ce matin, nous avons posé une question à Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft. Nous lui avons demandé s'il pouvait garantir sous serment que les données des citoyens français ne seraient jamais transmises à des autorités étrangères sans l'accord explicite des autorités françaises. Il a répondu qu'il ne pouvait pas le garantir, quel que soit le cryptage. Cela signifie que malgré toutes nos précautions, Microsoft peut être contraint de transmettre les données à l'insu des autorités françaises.

M. Cédric O. - Vous avez raison. Personne ne nie l'énorme domination américaine dans la technologie du cloud, ce qui nous rend tous dépendants, y compris une partie des fournisseurs français qui s'appuient sur des technologies américaines, notamment des machines virtuelles.

Ce problème est mondial ; même les États-Unis ne sont pas souverains sur toute leur architecture technologique. Par exemple, pour la 5 G, il n'existe que trois fournisseurs de stations de base (Ericsson, Nokia et Samsung), aucun n'étant américain. Les communications téléphoniques américaines, y compris celles cryptées, transitent donc par du matériel non américain. Comme nous, ils n'ont pas attendu qu'un acteur national sache le faire pour déployer la 5 G. Il y a même eu des rumeurs d'OPA hostile sur Ericsson pour remédier à cette faiblesse technologique !

Nous avons tout de même quelques avantages en Europe : la 5 G avec Ericsson et Nokia, et ASML dans l'intelligence artificielle, qui imprime toutes les puces d'intelligence artificielle. Ce sont deux atouts majeurs dans les négociations avec les Américains. Le problème est l'énorme différence de moyens : OVH vaut 2 à 3 milliards d'euros quand Amazon en vaut 2000 milliards. Sur les nouvelles technologies comme l'intelligence artificielle, nous rattrapons notre retard, mais ils ont dix ans d'avance. Nous sauvegardons tous les données de nos téléphones sur des clouds chinois ou américains. Il s'agit d'un des plus gros problèmes de l'Europe aujourd'hui.

Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.

La réunion est close à 18 h 30.

La réunion est ouverte à 19 heures.

Audition de Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique

M. Simon Uzenat, président. - Comme il est de tradition pour une commission d'enquête, nous venons clore nos travaux en recevant les membres du Gouvernement compétents dans les champs couverts par nos investigations.

Alors que nous avions débuté nos auditions par un examen du champ traditionnel de la commande publique, en recevant les représentants des collectivités territoriales, des experts, des juristes, il nous est rapidement apparu, à l'initiative notamment de notre rapporteur, qu'un champ particulier méritait tout notre intérêt : celui de la souveraineté numérique et du rôle que les acheteurs publics peuvent jouer pour la promouvoir.

Les constats en la matière sont clairs et partagés : une dépendance, subie ou entretenue, vis-à-vis d'opérateurs extraeuropéens soumis à des législations extraterritoriales et une mauvaise appréhension des risques associés à ces dernières, malgré une doctrine claire en la matière. Si une prise de conscience a eu lieu au plus haut niveau, comme l'illustre l'article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi « Sren », il reste encore à traduire ces orientations en actes, notamment en ce qui concerne la plateforme des données de santé (PDS).

Nous recevons donc Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique pour échanger avec elle sur ce sujet.

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 € d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Veuillez lever la main droite et dire « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, Mme Clara Chappaz prête serment.

Madame la ministre, les travaux de notre commission d'enquête mettent en lumière les contradictions de la politique menée par l'État ces dernières années pour faire progresser la souveraineté numérique française et européenne.

D'un côté, une grande conscience du risque et un haut niveau d'expertise au sein de structures comme l'Agence nationale de la sécurité des systèmes d'information (Anssi) ou la direction interministérielle du numérique (Dinum), que nous avons auditionnées. De l'autre, des acheteurs publics ministériels, hospitaliers ou dans les collectivités qui, faute d'incitations suffisantes ou parfois de compréhension du risque encouru, perpétuent des situations de dépendance vis-à-vis d'opérateurs qui ne peuvent garantir la sécurité des données qu'ils hébergent. Partagez-vous ce constat ? Comment envisagez-vous d'y remédier ?

Notre commission d'enquête s'est penchée sur la situation de la PDS, dont nous déplorons que l'hébergement soit assuré depuis sa création par Microsoft Azure, alors que cette occasion aurait permis d'encourager le développement et la structuration d'une offre française d'hébergement souverain, capable dès cette époque de rivaliser avec la concurrence internationale - même si Cédric O, que nous venons de recevoir, ne partage pas cet avis. Sa migration vers une solution qualifiée SecNumCloud est maintenant obligatoire en application de l'article 31 de la loi « Sren ». Quelles sont les perspectives en la matière et l'échéance de publication du décret d'application de cet article ? Quel regard portez-vous sur la maturité de la filière française du cloud de confiance pour remplir cette mission ?

De manière plus générale, les start-ups regrettent d'être défavorisées dans les procédures de la commande publique, qui seraient plutôt tournées vers les acteurs établis et les grandes entreprises. Quelles sont les initiatives que le Gouvernement a prises ou compte prendre pour y remédier ?

Enfin, le cadre juridique de la commande publique va évoluer prochainement, avec la révision des directives européennes engagée par la Commission européenne. Le 12 mai dernier, lors de notre déplacement à Bruxelles, nous avons eu confirmation que l'agenda de la Commission prévoyait une proposition législative a priori pour la fin de l'année 2026. Dans ce cadre, le gouvernement compte-t-il défendre un renforcement des exigences en matière de souveraineté numérique et l'affirmation, que nous appelons de nos voeux, d'une préférence européenne sur ce sujet comme sur tous les autres relatifs à la commande publique ?

Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique. -Votre commission d'enquête s'empare d'un sujet crucial, en raison du poids économique considérable de la commande publique - 170 milliards d'euros par an - mais aussi parce que c'est un levier stratégique au service de nos grandes priorités économiques, sociales et technologiques.

À titre liminaire, il est utile de rappeler que la politique de la commande publique est pilotée par le ministre de l'économie, des finances et de la souveraineté industrielle et numérique tandis que les achats de l'État relèvent plus particulièrement de ma collègue ministre chargée des comptes publics, Amélie de Montchalin. L'autorité sur la Dinum est quant à elle exercée conjointement par le Premier ministre et le ministre de la fonction publique et de la simplification.

Je partage avec vous une conviction forte qui, je crois, s'est reflété dans les travaux que vous avez menés jusqu'ici. La manière dont nous achetons nos solutions numériques, dont nous gérons nos données, dont nous assurons notre cybersécurité et dont nous ouvrons nos marchés est déterminante en matière de souveraineté numérique. Mais cette politique peut aussi constituer un outil de soutien à nos acteurs innovants - notamment aux PME innovantes et aux start-ups. C'est pourquoi nous avons appelé, encore récemment à l'occasion du sommet pour l'action sur l'intelligence artificielle, en février dernier, à se saisir collectivement de l'outil de la commande publique, comme privée, au bénéfice de notre compétitivité.

Il est nécessaire de protéger nos données sensibles. Le numérique prend une place prépondérante dans de nombreux aspects de notre quotidien et de nos services publics : les administrations, les opérateurs de l'État, les collectivités ont été engagées à s'appuyer sur des infrastructures numériques pour gagner du temps, réduire les coûts pour les finances publiques et assurer des services plus fluides aux usagers, ces évolutions permettent de mieux répondre, et de manière plus efficace, aux attentes des Français. Cependant, les bénéfices attachés à un usage renforcé du numérique ne doivent pas nous exonérer d'une vigilance accrue aux nouveaux risques et dépendances qu'il fait émerger.

En matière de protection des données sensibles, le Gouvernement a établi une ligne claire en articulant la doctrine « cloud au centre » avec la nécessité de mieux protéger nos données sensibles.

D'une part, la doctrine « cloud au centre » oriente les services publics vers un usage accru du cloud pour moderniser et rationaliser nos infrastructures numériques ; d'autre part, cette évolution est encadrée par une exigence renforcée de sécurité, notamment pour les données sensibles, en s'appuyant sur des solutions qualifiées SecNumCloud, qualification délivrée par l'Anssi. Aussi, seules les offres qualifiées SecNumCloud, , ou les hébergements internalisés et clouds interministériels peuvent héberger des données sensibles de l'État, qui sont celles qui doivent mobiliser une attention particulière.

En effet, les données exploitées ne présentent pas toutes le même degré de sensibilité. Le niveau d'exigence requis pour leur gestion doit donc être adapté à l'aune de ce critère.

Avec mes collègues Amélie de Montchalin et Laurent Marcangeli, nous avons jugé nécessaire, en avril dernier, de rappeler aux administrations la doctrine en matière d'hébergement de données. L'objectif est de vérifier que le niveau de sécurité atteint est suffisant, en fonction du degré de sensibilité des données.

L'article 31 de loi « Sren » précise le champ des données présentant une sensibilité particulière et prévoit qu'elles doivent être protégées contre tout risque d'accès non autorisé par des acteurs étrangers. Les ministères doivent donc s'assurer que les hébergements et applications - en particulier les solutions collaboratives, bureautiques et de messageries ou encore les solutions d'intelligence artificielle - utilisées pour le traitement des données sont conformes à ces exigences de protection, notamment lorsque ces dernières présentent une sensibilité particulière.

C'est un pas supplémentaire pour éviter les achats par défaut, mal encadrés, ou non conformes aux exigences de cybersécurité, mais aussi pour orienter l'achat public vers des solutions maîtrisées, sécurisées et conformes à nos priorités de souveraineté. Il requerra un engagement accru de la Dinum pour opérer ce contrôle.

Plusieurs fournisseurs sont d'ores et déjà labellisés SecNumCloud : Cegedim, Cloud Temple, Index Education, détenu par Docaposte, Oodrive, Outscale, OVH, Whaller et Worldline. Les offres Bleu et S3NS, deux projets français de cloud de confiance en partenariat avec des hyperscalers américains, ont également enclenché le processus de labellisation SecNumCloud. Il s'agit pour le premier d'une co-entreprise entre Capgemini et Orange, en partenariat avec Microsoft, et pour le second d'une filiale de Thales, en partenariat avec Google.

Le deuxième point que je souhaite aborder concerne notre souveraineté technologique et la nécessité de regagner en autonomie.

Il n'est plus possible d'ignorer les dépendances critiques que nous avons développées dans plusieurs segments clés du numérique : services d'hébergement de données, systèmes d'exploitation, logiciels de gestion ou composants stratégiques. L'Europe dépend massivement de solutions technologiques extra-européennes : 83 % des dépenses numériques européennes - secteur public et secteur privé confondus - vont à des acteurs étrangers, pour un montant estimé à 264 milliards d'euros chaque année. Ce chiffre témoigne de la nécessité de mieux documenter nos dépendances actuelles. C'est dans cette optique que j'ai lancé la création d'un observatoire de la souveraineté numérique, en cours de préfiguration par le conseil général de l'économie (CGE). Cet outil doit nous permettre de mesurer précisément nos dépendances technologiques sur les chaînes de valeur, de cartographier les risques et d'évaluer les marges de manoeuvre. Son objectif est de tracer une trajectoire de réduction de nos dépendances à moyen terme, par secteur et par type d'infrastructure. Ce travail de transparence est indispensable pour éclairer les décisions publiques et privées.

Une fois nos vulnérabilités identifiées, nous devons soutenir l'offre nationale et européenne. La commande publique, comme privée, constitue un levier essentiel pour orienter nos choix et soutenir des solutions européennes ou nationales solides et crédibles.

Nous disposons déjà d'instruments sur lesquels nous pouvons nous appuyer. Dans le droit européen, il est possible de fixer des exigences en matière de localisation des données ; d'intégrer des critères environnementaux ambitieux ou encore d'imposer des normes de sécurité élevées, dès lors que ces exigences présentent un lien avec l'objet du marché et sont proportionnées à l'objectif poursuivi. C'est l'orientation que nous avons déjà adoptée avec l'exigence de certification SecNumCloud pour l'hébergement des données sensibles, ou encore à travers les stratégies d'achat ciblées que nous avons élaborées dans des secteurs prioritaires comme le matériel informatique reconditionné ou les bornes de recharge électrique.

Mais force est de reconnaître que nous devons aller plus loin. C'est pourquoi, au niveau européen, la France défend une position ambitieuse dans le cadre de la révision en cours des directives relatives à la commande publique.

Nous y portons plusieurs priorités structurantes : l'introduction d'une préférence européenne, en clarifiant la définition de l'origine des produits et services concernés ; le renforcement de la sécurité des approvisionnements, afin de consolider la résilience économique de nos chaînes de valeur ; enfin, la simplification du cadre juridique, pour faciliter l'accès de tous les acteurs économiques, notamment les plus innovants, aux marchés publics.

Il nous appartient de poursuivre, avec constance et détermination, le soutien au développement de nos filières stratégiques - un engagement de long terme, significativement renforcé depuis 2021 à travers le Plan d'investissement France 2030. Ce plan s'inscrit dans la continuité des stratégies nationales déployées sur plusieurs technologies critiques, telles que l'intelligence artificielle, la cybersécurité ou encore le cloud, avec pour objectif de favoriser l'émergence d'acteurs français compétitifs et pérennes.

À ce titre, un appel à projets dédié au cloud vise à accompagner le renforcement d'une offre souveraine de services sur le territoire national, en particulier dans les domaines du cloud de confiance et des services cloud au service de l'intelligence artificielle.

C'est également dans cette dynamique de structuration et de consolidation de nos filières que s'inscrit la signature du contrat stratégique de filière (CSF) pour la souveraineté numérique, conclu avec les ministres Philippe Baptiste et Marc Ferracci il y a quelques semaines. Cet engagement collectif incarne notre ambition partagée de bâtir une trajectoire résolument tournée vers l'indépendance technologique de notre pays.

Mon troisième point porte sur le défi majeur que représente l'accès à la commande publique pour nos start-ups et PME innovantes.

En 2024, seulement 2 % des dépenses d'achat de l'État sont consacrées aux start-ups. Bien que ce chiffre ait progressé de 0,6 point par rapport à 2023, il reste insuffisant. Plusieurs grandes entreprises du numérique à l'échelle mondiale ont pu se développer - dès leurs débuts, puis tout au long de leur croissance - grâce à un appui structurant de la commande publique dans leur pays. Ce soutien leur a permis de prendre rapidement une avance significative et de conquérir de nombreux marchés à l'international.

Comment expliquer ce faible accès des start-ups à la commande publique ? Aujourd'hui encore, malgré la dématérialisation des procédures, les dispositifs d'achat restent souvent inaccessibles aux petites structures car la marche reste haute pour des entreprises dont les moyens sont par nature limités : ils sont complexes, longs, consommateurs en ressources humaines et favorisent de fait les grands groupes déjà bien établis. Pour y répondre, l'un des piliers du plan « Je choisis la French Tech » est la formation des entreprises innovantes à la commande publique.

Pourtant, les start-ups françaises sont prêtes. Mistral, spécialisée dans les modèles d'intelligence artificielle générative, incarne une ambition européenne de souveraineté technologique en développant des alternatives aux géants américains de l'IA. Je pense aussi à Jus Mundi, société experte en recherche juridique assistée par intelligence artificielle. Ces entreprises illustrent la capacité de notre écosystème technologique à proposer des solutions performantes et compétitives dans des domaines stratégiques comme la cybersécurité, l'intelligence artificielle, le cloud, l'analyse de données ou les logiciels métiers.

Nous devons donc faciliter l'accès à la commande publique pour ces entreprises.

Concrètement, cela passe par la mise en place d'un cadre réglementaire stable, simple et prévisible, notamment via plusieurs mesures du projet de loi de simplification de la vie économique, telles que le relèvement durable des seuils de passation simplifiée à 143 000 euros pour les achats innovants, contre 100 000 euros actuellement ; la possibilité de réserver jusqu'à 15 % des lots des marchés publics d'innovation aux jeunes entreprises innovantes (JEI). Je souhaite que ces mesures soient préservées dans la suite des débats sur ce texte, elles sont importantes pour notre écosystème.

L'accès à la commande publique passe aussi par le soutien accru aux expérimentations, comme les partenariats d'innovation façon Proqcima, porté par le ministère des armées, qui restent encore trop peu utilisés mais peuvent être de vrais leviers ; par le renforcement des dispositifs de sourcing et de formation, à l'image de l'initiative « Je choisis la French Tech », pour favoriser une meilleure compréhension mutuelle entre start-ups et acheteurs publics. Il ne s'agit pas de créer des marchés de niche réservés aux start-ups, mais bien d'intégrer l'innovation dans le fonctionnement quotidien de l'administration.

Enfin, je souhaite insister sur un principe fondamental : notre souveraineté numérique ne doit pas se traduire par une méfiance excessive, ni par l'idée que nous devons systématiquement développer toutes nos solutions numériques en interne.

De nombreuses solutions conformes à nos exigences sont déjà disponibles sur le marché, et il faut en tirer pleinement parti. Lorsqu'une solution commerciale présente des performances, des coûts et une adaptabilité et maintenance équivalents, il est préférable de privilégier la contractualisation avec cette solution plutôt que de concevoir une solution interne à l'État, qui pourra s'avérer plus coûteuse et moins efficace à long terme. Notre priorité à la souveraineté doit en toute hypothèse être conciliée avec la nécessaire maîtrise de nos finances publiques.

M. Simon Uzenat, président. - Quand nous parlons de sujets de souveraineté, nous n'y associons pas uniquement les solutions développées par les services de l'État, mais bien l'ensemble de l'écosystème français et européen, des start-ups jusqu'aux plus grandes entreprises que nous avons auditionnées.

M. Dany Wattebled, rapporteur. - Merci pour cette présentation de votre feuille de route, elle est intéressante.

J'aimerais faire un commentaire d'ensemble sur nos travaux, et dire qu'il y a eu un « avant » et qu'il y aura un « après » notre commission d'enquête. Notre sentiment, c'est qu'au début de nos travaux, nous nous sommes bien fait « balader », chaque fois que nous abordions la question de la souveraineté numérique : chacun, de la ministre aux services, se renvoyait la responsabilité - et démontrait qu'en fait, il n'y avait pas de pilote dans l'avion. Nous avons entendu les entreprises. J'étais présent lorsque vous avez visité les locaux d'OVH à Roubaix et avez rencontré Octave Klaba. Il nous a dit comment l'hébergement des données de la plateforme du Health Data Hub (HDH) avait échappé à son entreprise - il nous a dit comment il l'avait appris entre deux portes, sans autre justification que ce ne serait pas pour son entreprise, que ça avait été fléché par Capgemini pour Microsoft.

Cela, c'était « l'avant ». Puis il y a eu le retour de Donald Trump, et l'administration a commencé à mesurer combien c'était dangereux de donner toutes nos données aux entreprises américaines, en termes de sécurité et aussi d'avantage économique. Nous avons eu confirmation - Microsoft nous l'a encore dit très clairement ce matin - que les sociétés américaines sont soumises à l'application des lois américaines extraterritoriales, et qu'elles ne sauraient donc s'opposer à une demande de l'État américain de leur transférer toute donnée en leur possession - ce qui signifie qu'en réalité, nous offrons des armes économiques aux Américains à travers tout contrat avec Microsoft.

On nous a dit, ensuite, que la France était en retard, mais que si on mettait un peu de moyens pour soutenir nos entreprises, la donne pourrait être changée - après tout, c'est ce qu'ont fait les Américains, et si on aime raconter que les start-ups américaines sont nées dans des garages, c'est bien la commande publique qui les a fait décoller.

Aussi, plusieurs questions se posent pour notre commission d'enquête. Dans le cadre de la commande publique, comment le Gouvernement s'assurera-t-il des choix technologiques, notamment pour les infrastructures critiques, privilégiant des exigences de souveraineté et d'indépendance stratégique ? La plateforme Place, qui centralise les marchés, est un outil clé pour la commande publique. Quels critères ont guidé le choix du prestataire CGI pour son développement et son exploitation ? Et comment ce choix s'inscrit-il dans une logique de souveraineté numérique ? Certains acteurs s'interrogent sur la capacité des prestataires étrangers à garantir la pleine souveraineté des données sur la plateforme Place. Quelles sont les garanties techniques et juridiques mises en place pour protéger les données sensibles transitant par cette plateforme ?

Mme Clara Chappaz, ministre déléguée. - La certification SecNumCloud est une réponse aux législations extraterritoriales et assure la protection des données, c'est extrêmement important dans le contexte géopolitique que nous connaissons.

Sur les données du HDH, vous connaissez le déroulement des choses et la situation que nous avons trouvée ; depuis son entrée en fonctions, le Gouvernement a engagé une réflexion sur l'avenir de son hébergement. La loi « Sren » a créé une obligation pour lui de recourir à un prestataire de services de cloud présentant des garanties de souveraineté, c'est très clair. Dans la situation actuelle, il n'y a pas de copie complète des données de l'assurance maladie sur le HDH - ce n'est d'ailleurs pas satisfaisant, puisque cela limite l'utilisation que nous pourrions en faire. Pour l'instant, c'est seulement pour des projets spécifiques, et sous validation de la Commission nationale de l'informatique et des libertés (Cnil), que certaines données de santé ont pu être transférées au HDH. Ces données doivent être à nouveau transférées sur un hébergement ultra sécurisé souverain, en l'application de la loi « Sren ». Nous travaillons sur ce dossier avec tous les acteurs concernés. Un appel d'offres vient d'être lancé par le ministère de la santé pour permettre l'hébergement des données sur un hébergement sécurisé, c'est ce qu'on appelle la solution intercalaire...

M. Dany Wattebled, rapporteur. - Dans quel délai sera-t-elle mise en place ?

Mme Clara Chappaz, ministre déléguée. - Elle pourrait débuter en 2026. Nous souhaitons aussi accompagner les fournisseurs de cloud français ayant obtenu la qualification SecNumCloud à répondre aux besoins d'hébergement et de calcul de la plateforme HDH et proposer une solution cible de confiance. Après cette période intercalaire, une fois que toutes les offres SecNumCloud seront disponibles, nous espérons poursuivre vers un hébergement souverain du HDH. Notre objectif est de veiller à la protection des données personnelles et des données de santé et de tirer tout le bénéfice de ce projet innovant qu'est la plateforme HDH.

La question de la souveraineté des données est cruciale. La doctrine est claire, mais il faut s'assurer qu'elle est comprise, connue et respectée. Dans le cadre du décret en préparation, la Dinum rencontre la Cnil cette semaine pour préciser les contours de la doctrine et garantir sa bonne application. Il faut commencer par comprendre nos vulnérabilités technologiques et cartographier nos achats pour mieux les piloter et mieux appréhender nos dépendances - le CGE et la direction des achats de l'État (DAE) y travaillent. La souveraineté numérique ne se limite pas à la sécurisation des données. Il faut mobiliser la commande publique pour diminuer nos vulnérabilités. Le projet de loi de simplification de la vie économique devrait aussi nous aider à mobiliser au maximum les outils à notre portée pour réduire nos vulnérabilités et travailler avec les acteurs de la technologie.

Notre priorité absolue est de porter la dynamique de préférence européenne dans le numérique, afin d'avoir plus de marge de manoeuvre pour réduire nos dépendances une fois que nous les avons comprises. C'est un travail qui nécessite du temps, mais je suis déterminée à avancer, car il s'agit à la fois de sécurisation des données, de souveraineté numérique et de politique industrielle. Lorsque les start-ups ont accès au marché, elles peuvent se déployer, vous l'avez rappelé avec l'exemple de la plateforme HDH.

Il est important de comprendre toutes les briques pour répondre précisément à la question de la souveraineté des données et des risques qu'il peut y avoir sur la plateforme Place. La décision de ne pas reconduire le contrat avec Atexo à son échéance, en 2024, a été prise au regard de la trajectoire définie par la DAE et l'Agence de l'information financière de l'État (AIFE), qui vise à renforcer la performance, la sécurité et la cohérence du système d'information de la commande publique. Cette décision tient compte de l'élargissement prévu de Place à de nouveaux acteurs publics, de l'intégration de services liés au programme de transformation numérique de la commande publique et des difficultés opérationnelles que certains acheteurs avaient pu rencontrer avec Atexo. Les écarts en matière de performance et d'efficacité dans l'exécution du marché avec Atexo ont conduit à sa non-reconduction.

M. Dany Wattebled, rapporteur. - CGI est-elle une entreprise à capitaux étranger ?

Mme Clara Chappaz, secrétaire d'État. - CGI est une entreprise canadienne, qui a une filiale française. Le contrat qui lui a été confié concerne la maintenance applicative, sans accès aux données. L'objectif est de répondre aux enjeux à court terme. CGI est déjà partenaire de nombreux services publics, étant le onzième fournisseur de l'État en 2023. L'entreprise s'appuie sur de l'open source et ne concerne pas les environnements qui traitent les données confidentielles. Les environnements de production qui reçoivent les réponses aux appels d'offres sont exploités par Open, une société française retenue via l'Ugap ; CGI n'a accès qu'à des environnements de test contenant des données fictives pour ses travaux de maintenance.

Je rappelle que le droit européen interdit de fonder un choix de prestataire sur le seul critère de la nationalité juridique d'une entreprise. La sécurité et la confidentialité des données sont encadrées par les clauses contractuelles.

Je partage vos préoccupations sur l'extraterritorialité des données et la capacité pour les acteurs étrangers de pouvoir accéder à nos données sensibles. Les risques en matière d'extraterritorialité du droit doivent être pris très au sérieux. Tout transfert de données en dehors des conventions de coopération est inacceptable ? La qualification SecNumCloud a été mise en place pour sécuriser nos données sensibles de l'État. Nous pouvons nous réjouir d'avoir des acteurs labellisés.

Je rappelle aussi que le RGPD interdit le transfert des données vers des pays tiers, sauf à respecter un certain nombre de conditions. TikTok a été condamné en première instance sur le fondement de cette législation européenne ; l'entreprise a fait appel, nous verrons ce que donnera le jugement. En tout état de cause, notre droit est très clair sur cette question du transfert des données.

M. Dany Wattebled, rapporteur. - Le récent contrat-cadre signé par le ministère de l'éducation nationale avec Microsoft, d'un montant potentiel de 74 à 152 millions d'euros, a suscité de nombreux débats. Comment ce choix a-t-il été justifié ? Quelles mesures sont-elles prévues pour réduire la dépendance aux solutions non européennes ?

Vous avez par ailleurs évoqué, lors de l'événement « L'État dans un nuage », organisé par la Dinum, l'importance d'utiliser la commande publique pour favoriser les solutions européennes, voire françaises. Comment allez-vous concilier un tel objectif avec des partenaires existants et les géants technologiques américains ? Concrètement, comment renforcer les acteurs français et européens ?

Mme Clara Chappaz, ministre déléguée. - Le contrat signé par l'Éducation nationale avec Microsoft vise à permettre à l'administration de ce ministère puisse continuer à utiliser les logiciels des solutions informatiques de cette entreprise, comme Windows, Word, Outlook - dont les ordinateurs des agents sont majoritairement équipés ; cet accord-cadre n'implique aucun minimum d'achat et permet au ministère de renouveler les licences d'utilisation à un tarif préférentiel. Tous les ministères disposent de ce type d'accord, mais celui de l'Éducation nationale est particulièrement important puisqu'il porte sur plusieurs millions de postes de travail et de serveurs ; ce marché vient d'être renouvelé pour quatre ans, élargi aux organismes de recherche et universités qui souhaitent réaliser des économies d'échelle.

Cet accord-cadre ne change pas la doctrine de l'État concernant le stockage des données. Les données à caractère sensible du ministère doivent être stockées sur des serveurs internes hébergés en France ; celles qui ne sont pas sensibles peuvent être hébergées sur des clouds commerciaux.

J'entends parfaitement que le fait de confier un contrat de cette importance à un acteur non-européen pose question, dans le cadre de la commande publique. Cependant, alors que le marché privé choisit à 83 % des solutions de cloud non européennes, l'État s'oriente pour 62 % vers des solutions françaises et européennes. Pour aller plus loin, il faut valoriser les 15 offres françaises qualifiées SecNumCloud. J'ai demandé de procéder à une évaluation technique de ces solutions, car on nous oppose souvent qu'elles ne seraient pas au niveau : il faut les analyser, voir ce qu'il en est, ce travail est en cours. Nous faisons monter nos acteurs en compétences avec l'appel à projet cloud, qui est important aussi pour accompagner ces acteurs et déployer des fonctionnalités sur l'intelligence artificielle, et c'est l'occasion de voir comment favoriser ces acteurs dans le cadre de la préférence européenne.

Je partage votre analyse : nous dépendons de solutions non européennes et de certaines entreprises en particulier, et, dans le même temps, tout un écosystème européen et français, qui se développerait s'il accédait mieux à des commandes publiques - c'est l'enjeu qui est le nôtre. C'est pourquoi je plaide, dans le projet de loi de simplification de la vie des entreprises, pour rehausser le seuil de 100 000 à 143 000 euros, ce qui constitue une différence importante pour les PME ; de même, nous réserverons 15 % de ces marchés à des acteurs de l'innovation, c'est le maximum qu'on peut faire dans le droit actuel.

Il y a aussi une dimension culturelle, c'est l'objet du programme « Je choisis la French Tech », de former les start-ups à comprendre le code de la commande publique. Nous avons lancé cette formation avec la mission French Tech - en nous appuyant sur Open Classroom, une start-up française -, cette formation est certifiante : quand une start-up l'a obtenue, elle peut se présenter devant les acheteurs publics et ont apprivoisé la question. Nous avançons aussi par de la mise en relation : nous avons organisé une trentaine d'événements avec différents ministères, pour rapprocher l'écosystème de l'innovation et les acheteurs publics. Vous l'aurez compris, je défends une vision ambitieuse de la commande publique, c'est un levier de souveraineté numérique au niveau européen.

Avec les acteurs américains, nous avons deux projets de partenariat, S3NS et Bleu. La souveraineté numérique ne consiste pas à fermer les portes, mais à être clairs sur nos demandes et nos exigences. C'est le sens de SecNumCloud, qui porte haut le niveau d'exigence - que nous portons aussi à l'échelle européenne, avec le projet de certification européenne pour les services de cloud (EUCS) qui permettra aussi à nos acteurs de développer des fonctionnalités de confiance et de les vendre dans toute l'Europe. Si des acteurs américains ou d'autres nationalités veulent développer des offres et investir, c'est une bonne chose, à condition de ne pas être dépendant. C'est la même logique que nous appliquons à l'intelligence artificielle, en travaillant avec des partenaires pour attirer des capitaux, notamment étrangers, au service de notre écosystème.

M. Dany Wattebled, rapporteur. - Ma dernière question est prospective. Des informations circulent sur une commande possible de 120 millions d'euros par la Dinum à des grands cabinets de conseil comme Capgemini et McKinsey pour accompagner la rédaction du cahier des charges en vue de développer des solutions souveraines. Pouvez-vous confirmer ou infirmer cette information et, le cas échéant, nous éclairer sur les objectifs de cette démarche ? Le recours à des cabinets de conseil internationaux pour des projets stratégiques pose des questions de cohérence avec les objectifs de souveraineté. Quels critères la Dinum applique-t-elle pour sélectionner ses partenaires, surtout dans le cahier des charges qui oriente souvent le choix des prestataires ?

Mme Clara Chappaz, ministre déléguée. - Je ne dispose pas d'éléments précis sur ce marché de conseil que la Dinum s'apprêterait à passer, je me renseigne et reviens vers vous quand je dispose des éléments, je vous répondrai par écrit.

M. Simon Uzenat, président. - Avant fin de la semaine, si possible.

M. Jean-Luc Ruelle. - La formation « Je choisis la French Tech » Académie entend avoir un rôle d'incubateur de start-ups : quel est son taux de réussite, combien de start-ups en sont sorties, et quelle est leur place dans la commande publique ? En particulier, combien de marchés de l'Union des groupements d'achats publics (Ugap) ont été attribués à des start-ups depuis 2024 ? ?

Quels sont les retours concrets des acheteurs publics sur APProch ? Comment en mesurez-vous l'usage réel ?

Ensuite, quelles vous paraissent les obstacles les plus importants pour la participation des start-ups à la commande publique, et quelles mesures de simplification voulez-vous prendre pour lever ces obstacles ?

Mme Clara Chappaz, ministre déléguée. - Je n'aurai pas toutes les réponses, mais je m'efforcerai de les obtenir avant la fin de la semaine et de vous les fournir.

Le taux de transformation est un très bon indicateur, mais il est encore trop tôt pour l'établir, car nous avons lancé l'académie en février - il faut attendre au moins un an, nous suivons cela de très près et nous vous ferons passer les éléments ultérieurement.

Je ne sais pas vous répondre, sur l'Ugap, en nombre de contrats. Les start-ups représentent 2,4 % de la commande publique, leur part a augmenté de 0,6 point. Avec « Je choisis la French Tech », nous nous étions fixés comme objectif de doubler la part des start-ups dans l'achat public. Nous sommes sur une trajectoire de croissance et nous continuons à suivre les choses de très près pour tenir nos objectifs.

Quels obstacles à lever pour que les start-ups accèdent davantage à la commande publique ? Nous travaillons précisément sur ce sujet. Il y a une dimension culturelle indéniable, la formation « Je choisis la French Tech » a l'ambition de faciliter cet accès. Il y a aussi des éléments très concrets, comme les délais de passation des marchés, qui sont très longs par rapport à la vie des start-ups, les délais de paiement ou encore la lourdeur des procédures - l'objectif du projet de loi de simplification de la vie économique est précisément de les alléger. La simplification est une grande priorité de ce Gouvernement : cela vaut pour les start-ups, mais également pour toutes les petites et moyennes entreprises (PME).

M. Jean-Luc Ruelle. - Lorsqu'une start-up ou une PME obtient une commande publique, c'est souvent un aboutissement. Est-ce que vous suivez ou évaluez les résultats après 12 ou 24 mois, pour voir si l'entreprise se développe ?

Mme Clara Chappaz, ministre déléguée. - Cela fait partie des travaux en cours avec la DAE, nous voulons objectiver les choses, voir comment la commande publique participe du développement des start-ups et PME.

M. Michel Canévet. - La commande publique est un élément essentiel pour le développement d'acteurs économiques sur le territoire national. Le seuil pour les marchés publics va passer de 100 000 à 143 000 euros. Avez-vous d'autres mesures concrètes en préparation pour susciter un élan des acteurs français vers le numérique, l'intelligence artificielle et la cybersécurité ?

Avez-vous cherché à accompagner les acteurs européens afin qu'ils soient en mesure de répondre aux prescriptions nouvelles auxquelles de nombreux acteurs vont être astreints en application des directives du 14 décembre 2022, 2022/2557 sur la résilience des entités critiques (REC), 2022/2554 sur la résilience opérationnelle numérique du secteur financier (Dora), et 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS2) ?

Mme Clara Chappaz, ministre déléguée. - L'élévation du seuil à 143 000 euros et la part de 15 % des marchés aux acteurs de l'innovation, sont des mesures très concrètes, que le Gouvernement soutient dans le projet de loi de simplification de la vie économique et qu'il espère voir perdurer - ce sera très utile pour l'accès des PME et des start-ups à la commande publique, ces mesures peuvent faire une vraie différence. Il y a également un volet réglementaire, par exemple sur les délais de paiement. Le ministère de l'économie examine ce qui pourrait être fait, pour faciliter la vie des PME.

Nous avons mobilisé les acteurs sur les questions de cybersécurité, les directives européennes que vous citez vont ouvrir les marchés, aussi bien le marché public que le marché privé. En effet, la grande majorité des 15 000 entités concernées par NIS 2 sont privées.

Les règles européennes ont évolué, nous nous mobilisons pleinement pour que ces changements bénéficient aux entreprises françaises, nous mobilisons l'ensemble de l'écosystème pour mettre en valeur ces opportunités et tire parti de la transposition de ces directives. En réalité, la barrière culturelle est souvent dans les deux sens : les acheteurs ne se tournent pas toujours facilement vers des solutions innovantes, mais les entreprises innovantes ne sont pas toujours à l'aise pour saisir les opportunités commerciales liées à des modifications législatives - d'où l'importance des mises en relation, qui ne manquent pas de se produire dans les événements que nous organisons. Nous avons également demandé une revue de l'Ugap pour s'assurer que tous les acteurs et les start-ups innovantes qui ont des solutions pertinentes dans la cybersécurité sont bien référencés.

M. Simon Uzenat, président. - Au cours de nos travaux, nous avons constaté que les discours étaient très volontaristes mais que les actes ne suivent pas. Il est peut-être temps de remplacer le concept de « données sensibles » par une approche plus efficace et simple, consistant à dire que les données publiques sont par définition sensibles. On peut imaginer une gradation, mais il faut protéger les données, ce pétrole du 21ème siècle

Nous avons le sentiment qu'on essaie de réduire progressivement le périmètre des données dites sensibles, en continuant d'héberger ailleurs qu'en France des données prétendument non sensibles, sans s'assurer de les immuniser contre les législations extraterritoriales - alors que ces données sont sensibles, en réalité, quand on les analyse. C'est le cas, par exemple, de la plateforme des données de santé (PDS), qui était initialement hébergée à Amsterdam. On veut nous rassurer en nous disant qu'il n'y a pas de risque avec ces législations, mais les responsables de Microsoft nous ont assuré ce matin même que ce n'est pas le cas. Nous constatons que des ministres ont été obligés d'écrire à leurs administrations pour leur rappeler qu'elles doivent respecter la doctrine « cloud au centre » et la souveraineté numérique, ce qui paraît surréaliste. Les décrets de la loi « Sren » n'ont toujours pas été publiés. Que de temps perdu ! Le Gouvernement dit depuis 2020 que le nécessaire sera fait dans les meilleurs délais pour la migration des données de la PDS, mais quand on regarde les choses de près, on voit que cela fait plus de sept ans que cela dure, et que les mesures utiles ne sont toujours pas prises.

Nous avons pris connaissance d'une note du 24 octobre 2023, à l'initiative de la PDS, qui est adressée au comité relatif à l'intelligence artificielle. Je vous lis un extrait de ses recommandations : « Exiger du gouvernement une position constructive, claire et de long terme concernant les exigences de souveraineté. Il s'agirait, d'une part, d'assurer de manière réaliste et pragmatique l'autorisation de l'utilisation de solutions étrangères afin de ne pas mettre en péril notre capacité d'innovation. D'autre part, il est nécessaire : soit de réellement de mobiliser des moyens financiers compatibles avec la montée en compétence des acteurs du cloud souverain, soit de reconnaître que la souveraineté ne pourra pas être atteinte sur toute la chaîne de valeur et d'en tirer les conséquences. » Cette position a le mérite de la clarté, mais ces paragraphes nous interpellent. C'est bien en raison d'un défaut de volonté politique et de moyens mis sur la table que les objectifs fixés ne sont pas atteints. Le 19 mai dernier, Madame la ministre, vous avez déclaré, lors du Grand débat sur la souveraineté numérique, que « la souveraineté numérique, c'est avoir le choix. Cela doit bien sûr être un choix économique rationnel ». Je souscris à la première partie de ce propos, mais je regrette que la commande publique, depuis 2019, n'ait pas accompagné cette ambition. Alors, je vous le demande, les yeux dans les yeux : quelle est l'ambition du Gouvernement - quel est votre cap ? Quelle a été votre réaction à la lecture de cette note du 24 octobre 2023, et celle de vos prédécesseurs ? Nous lançons un appel pour que les actes soient cohérents avec les discours - c'est ce qu'attendent les opérateurs économiques, qui ne comprennent pas pourquoi la puissance publique pédale dans la semoule.

Mme Clara Chappaz, ministre déléguée. - La volonté politique est forte, et c'est ce que démontre le courrier que nous avons envoyé aux administrations - il démontre notre volonté politique que la loi et la circulaire de la Première ministre soient pleinement respectées.

M. Simon Uzenat, président. - On peut y voir aussi le signe de ce que l'administration n'a pas intégré des dispositions pourtant claires - ce qui pose le sujet du pilotage de l'action publique en la matière...

Mme Clara Chappaz, ministre déléguée. - La volonté politique est entière et je l'assume, même si elle diffère peut-être de celle de mes prédécesseurs. Le contexte a changé et cette évolution est une opportunité pour réaffirmer et renforcer la souveraineté numérique. Les conséquences et les risques sont désormais très réels et plus visibles. J'ai interrogé l'administration sur les données sensibles publiques. Avec le SecNumCloud, nous sommes allés au maximum de ce qu'autorisent les règles de l'Organisation mondiale du commerce (OMC) - j'ai regardé de près si nous pouvions aller plus loin.

Mon premier combat consiste à assurer que nous respections ce que nous avons écrit. Ensuite, il faut regarder ce qu'il en est de certains dossiers, nous le faisons pour la plateforme du HDH, en lançant l'appel à projets pour une solution intercalaire. Les décrets de la loi « Sren » sont une priorité, une réunion est prévue cette semaine pour accélérer les choses.

M. Simon Uzenat, président. - Dans quel délai seront-ils adoptés ?

Mme Clara Chappaz, ministre déléguée. - Le plus vite possible, une fois que nous aurons tenu toutes les réunions nécessaires. Nous reviendrons vers vous avec plus de précision et les autres réponses.

L'appel à projets cloud a été un peu compliqué à lancer dans le contexte budgétaire actuel, nous l'avons fait parce que c'est une priorité, nous maintenons un budget pour la montée en compétence de nos offres cloud - les dossiers sont en cours de dépôt.

Le contexte géopolitique nous aide à faire entendre notre voix qui prône la souveraineté et qui a été longtemps bien seule au niveau européen ; la France soutient activement l'EUCS depuis ses débuts, nous avons été enfin rejoints par d'autres pays, notamment par l'Allemagne, qui a changé sa position. La souveraineté numérique était au coeur de toutes les discussions du dernier Conseil européen, chacun perçoit enfin sa dimension stratégique, au même titre que la défense - et la France est très volontariste sur cette question. Nous avançons avec l'Allemagne, qui a fait entendre une voix différente que celle qui a été longtemps la sienne en matière de sécurisation des données. Nous avançons aussi en format Weimar avec la Pologne et à l'échelle du Conseil tout entier.

D'après les échanges que j'ai eus avec mes prédécesseurs, je crois que cette position européenne est nouvelle. Cela me donne l'espoir, en tout cas la conviction que nous ne lâcherons pas sur ces questions-là et qu'aujourd'hui, il y a une opportunité à saisir.

La réunion est close à 20 h 05.

Cette audition a fait l'objet d'une captation vidéo disponible en ligne le site du Sénat.

Mercredi 11 juin 2025

La réunion est ouverte à 16 h 30.

Audition de M. Éric Lombard, ministre de l'économie, des finances et de la souveraineté industrielle et numérique

M. Simon Uzenat, président. - Depuis le mois de mars, au cours de nos travaux qui se sont déroulés dans un calendrier particulièrement resserré, nous avons reçu toutes les parties prenantes de l'univers de la commande publique, dans leur très grande diversité : élus locaux et leurs représentants, services de l'État, experts, juristes, économistes, acheteurs publics, acteurs économiques ou encore représentants du secteur hospitalier.

Nous en sortons avec la conviction renforcée que la commande publique constitue un puissant levier de transformation de l'économie française, en raison de son poids économique qui se situe dans une fourchette très large, comprise entre 170 et 300 milliards d'euros par an, selon les estimations, et de ce fait une politique publique à part entière. Accompagnement social, transition écologique ou encore souveraineté industrielle numérique sont des objectifs que la politique d'achat d'une personne publique doit aujourd'hui contribuer à atteindre. Ces objectifs font consensus.

Un ministère est la tour de contrôle de l'État dans ce domaine, même si cette politique a par nature un côté profondément interministériel : celui chargé de l'économie et des finances. Sa direction des affaires juridiques (DAJ) est la gardienne de la réglementation en la matière, tandis que sa direction des achats de l'État (DAE) pilote la politique d'achat de l'État et donne les impulsions en direction de ses opérateurs. Nous avons reçu les représentants de ces deux directions.

C'est donc en toute logique que nous recevons le titulaire de ce portefeuille, M. Éric Lombard, ministre de l'économie, des finances et de la souveraineté industrielle et numérique, pour conclure nos travaux et échanger avec lui à ce sujet.

Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 € d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Veuillez lever la main droite et dire « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, M. Éric Lombard prête serment.

Monsieur le ministre, la commande publique est à la veille de profonds bouleversements : son cadre juridique, fixé au niveau européen, va être révisé dans les prochains mois. À cette occasion, plusieurs visions s'affrontent à Bruxelles, certains États-membres réduisant la commande publique à un acte purement économique. Quelles vont être les priorités françaises dans ce cadre, alors que la Commission européenne doit faire une proposition législative d'ici à la fin de l'année 2026 ? Comptez-vous bien promouvoir une forme de préférence européenne ainsi qu'un mécanisme de soutien aux PME, une forme de Small Business Act ?

Parmi les nombreux blocages ou rigidités, réels ou ressentis, qui restent vivaces auprès des opérateurs économiques quand on les interroge sur la commande publique figure celui des seuils. Des mesures de relèvement ont été adoptées à l'Assemblée nationale dans le cadre de l'examen du projet de loi de simplification de la vie économique. Quelle est la position du Gouvernement à ce sujet ?

En matière de commande publique responsable, l'État se doit d'être exemplaire. Nous en avons l'absolue conviction Ce devrait être le cas pour atteindre les objectifs fixés par la loi « Climat et résilience » s'agissant des considérations sociales et environnementales dans les marchés publics. Toutefois, l'État est en retard dans un domaine important : l'adoption d'un schéma de promotion des achats socialement et écologiquement responsables (Spaser), pourtant obligatoire pour tous les acheteurs réalisant 50 millions d'euros hors taxes d'achats par an. Où en est ce processus, dont l'aboutissement est annoncé depuis plus d'un an ? Nous avons eu confirmation que ce serait pour bientôt, mais qu'en est-il ? Il y a d'autres retards, qu'il s'agisse du respect de la loi Egalim ou de la souveraineté numérique. Sur ce dernier point, nous avons constaté un décalage entre les discours et les actes, encore hier en auditionnant votre collègue Clara Chappaz.

Enfin, le pilotage par la donnée constitue un enjeu majeur d'amélioration de la performance des achats et de transparence à l'égard des acteurs économiques et de nos concitoyens. Aujourd'hui, les données de l'Observatoire économique de la commande publique (OECP) demeurent lacunaires et ne permettent pas d'obtenir une image claire du poids économique de la commande publique en France. Nous en avons eu la démonstration avec les chiffres de l'investissement dans le numérique, qui varient très fortement selon les annonces, de 145 millions à 4,8 milliards d'euros, démontrant qu'il reste beaucoup à faire pour parvenir à une vision claire. Comptez-vous améliorer l'ouverture des données de l'État dans ce domaine, sur le modèle des initiatives prises par des collectivités territoriales comme la région Bretagne, la première à s'être dotée d'un observatoire des données de l'achat public ? C'est une question de transparence et d'efficacité, afin de faciliter l'accès à la commande publique.

M. Éric Lombard, ministre de l'économie, des finances et de la souveraineté industrielle et numérique. - Je suis heureux de participer à vos travaux qui vont apporter de la lumière sur un sujet complexe et stratégique.

Quelques chiffres : les marchés publics représentent 170 milliards d'euros, cela témoigne de l'importance du sujet, de son impact économique sur la performance de l'action publique et sur notre tissu économique. L'État n'en représente qu'une partie : en 2024, 25 milliards d'euros hors défense et 50 milliards d'euros avec les établissements publics, car la commande publique comprend également les collectivités locales pour 73 milliards d'euros et les entreprises publiques et les opérateurs de réseau, pour 46 milliards d'euros.

L'État est donc un acheteur important et il tient aussi un rôle de réglementation. Il vise à acheter de manière performante au meilleur coût, mais aussi à contribuer par ses achats à différents objectifs de politique économique, ou encore à contribuer à la transition écologique au travers d'un effort d'achat responsable qui, sans nul doute, doit être accru.

Le droit qui régit la commande publique repose sur trois principes fondamentaux qui nous obligent tant au plan national qu'européen. D'abord, la justification des besoins : toute dépense publique doit répondre à un besoin clairement identifié, ceci pour éviter les achats superflus et garantir une utilisation optimale des ressources publiques. La mise en concurrence, ensuite, est centrale, elle est essentielle pour garantir l'efficacité économique et la transparence en confrontant les meilleures offres. Les acheteurs publics s'assurent d'obtenir la meilleure qualité au meilleur prix. Enfin, l'ouverture des marchés : les marchés publics sont accessibles à tous les opérateurs économiques, qu'ils soient nationaux, européens, ou étrangers extra-européens.

Ces trois principes concourent au bon usage des deniers publics. La nécessaire maîtrise des coûts protège les contribuables. Le ministre des finances, chargé aussi des comptes publics, ne peut qu'y être attaché, surtout en cette période où nous sommes encore plus attentifs que d'habitude à la dépense publique.

Les évolutions récentes de notre droit de la commande publique ont introduit, à juste raison, les enjeux de transition écologique, en particulier l'obligation de généraliser des considérations environnementales à l'horizon 2026. Nous y sommes presque dans tous les marchés pour tous les acteurs publics.

Cette réglementation n'empêche pas la prédominance des fournisseurs établis en France. La question de l'achat français est légitime. Dans le cadre du droit de l'Union européenne, il n'est pas possible de discriminer en fonction de la nationalité des entreprises pour l'attribution des marchés publics. Cela étant, plus de 97 % des fournisseurs de l'État sont des entreprises établies en France, s'agissant aussi bien du nombre de marchés que de la valeur des achats, et cela fait au moins 10 ans que nous ne sommes pas descendus au-dessous de cette proportion. Le secteur français du bâtiment et travaux publics (BTP) est largement bénéficiaire des marchés publics, preuve que nos entreprises savent être compétitives sur leur territoire en respectant les règles européennes. La réalité est forcément plus nuancée pour les fournitures, ces marchés s'inscrivant dans les chaînes de valeur internationales qui limitent parfois la possibilité de choisir des produits français. C'est aussi tout l'enjeu d'une politique résolument tournée vers le soutien aux filières, qui est celle de mon ministère, dont le portefeuille inclut l'industrie et les petites et moyennes entreprises (PME) ; depuis 2023, nous cherchons à améliorer la compétitivité des biens et services produits en France et au sein de l'Union européenne.

Il s'agit donc d'identifier les leviers indirects, comme les considérations environnementales. Des stratégies d'achat de l'État ont été définies en 2024 dans cinq secteurs prioritaires pour les achats de panneaux photovoltaïques, de pompes à chaleur, de véhicules électriques et hybrides rechargeables, de matériel informatique reconditionné et de bornes de recharge électrique.

Le droit national de la commande publique peut et doit évoluer, c'est l'un des objets du projet de loi de simplification de la vie économique, actuellement en débat à l'Assemblée nationale. Le Gouvernement avance en étant à l'écoute du Parlement. Nous avons ainsi renoncé à poursuivre l'unification du contentieux de la commande publique, tenant compte des inquiétudes exprimées par les professionnels et les collectivités. Ce texte prévoit également une extension de la plateforme Place à l'ensemble des établissements publics de l'État, des établissements publics de santé et des organismes de sécurité sociale, : ce qui facilitera l'accès aux marchés publics, notamment pour les PME. Nous prenons acte de ce que l'Assemblée nationale n'a pas souhaité son extension aux collectivités locales : il reviendra à la commission mixte paritaire (CMP) de trouver le bon équilibre sur ce point. Nous saluons enfin la pérennisation du seuil des marchés négociés de 100 000 euros pour les marchés de travaux, un seuil qui permet à la fois de simplifier les procédures administratives et qui maintient la transparence.

En revanche, certaines mesures ajoutées par l'Assemblée nationale pour favoriser explicitement les entreprises locales dans l'achat public. sont contraires au droit européen. Leur maintien créerait un risque juridique important d'annulation des procédures qui seraient suivies sur leur fondement. Je lance un appel au Parlement pour qu'il revienne sur ces mesures lors de la CMP. Nous prendrions un grand risque constitutionnel, par exemple, en supprimant toute procédure de mise en concurrence et de publicité préalable pour 45 % des marchés de fournitures et de services contre 15 % à ce jour. Nous devons conserver un équilibre entre la nécessaire simplification et la préservation, même sous une forme souple, des exigences de transparence et d'égal accès à la commande publique, qui sont des garanties essentielles de bon usage des deniers publics.

Sur le plan européen, la révision des directives relatives à la commande publique offre une opportunité majeure, la France y porte quatre priorités. D'abord, l'institution d'une préférence européenne, pour favoriser les produits fabriqués sur le territoire européen par rapport aux produits revendus par un importateur. C'est ce que nous appelons, dans les réunions européennes, le « Buy European Act ». Deuxième priorité, nous devons garantir la sécurité et la résilience de nos économies, ce qui passe par la sécurité des approvisionnements - on voit bien l'importance particulière que prend ce sujet depuis quelques mois. Troisième priorité, nous voulons promouvoir la commande publique durable par la prise en compte de considérations de développement durable contraignantes, c'est l'impératif de transformation énergétique et écologique. Enfin, quatrième priorité, nous voulons simplifier, quand c'est possible, le cadre de la commande publique, pour soutenir la vie économique.

Sur la préférence européenne, il faudra travailler à la délicate définition de l'origine européenne des produits et services concernés, ce qui pose des questions redoutables, mais il est possible d'avancer. Il faudra aussi concilier ces évolutions avec les engagements internationaux qui nous lient avec des États à qui nous avons ouvert nos marchés publics respectifs - je pense aux États-Unis, au Canada, au Japon, à la Corée, à Singapour, même si cela doit se faire sans naïveté, car il ne m'échappe pas que ces pays ne respectent pas tous leurs engagements.

Enfin, je voudrais aborder la question de l'achat public et des exigences de souveraineté, vous en avez parlé hier avec Clara Chappaz, qui m'a rendu compte de son audition devant vous. La compétitivité et la qualité des offres doivent rester des critères essentiels et nous ne pouvons pas vouloir attirer les investissements des entreprises en France tout en les stigmatisant - il faut en particulier éviter de jeter l'anathème sur telle ou telle entreprise. En revanche, nous devons nous montrer vigilants sur l'hébergement des données, en particulier les données les plus sensibles. C'est pourquoi le Gouvernement s'est doté d'une doctrine dite « cloud au centre ». Pour héberger leurs données sensibles, les ministères doivent utiliser les solutions de cloud interministérielles, comme celle dont dispose le ministère de l'économie et des finances, ou des offres commerciales, mais alors seulement celles qui sont qualifiées SecNumCloud, une qualification que l'Agence nationale de la sécurité des systèmes d'information (Anssi) ne délivre qu'après une analyse approfondie. Je remercie d'ailleurs ses agents, qui font un travail remarquable.

Ces règles ont été récemment rappelées aux membres du Gouvernement par Laurent Marcangeli et Amélie de Montchalin, ainsi que Clara Chappaz, tant elles sont importantes dans la période actuelle. Nous pouvons cependant aller plus loin. Avec Amélie de Montchalin, nous avons demandé la réalisation d'une cartographie des risques de souveraineté sur l'ensemble des achats de l'État. C'est en s'appuyant sur ces travaux que nous pourrons travailler aux mesures de remédiation de ces risques. Avec Marc Ferracci, nous avons réuni vendredi dernier les directeurs d'administration centrale de Bercy et leur avons parlé de ce sujet. La commande publique est incontestablement un levier important pour notre économie, elle doit viser à protéger les deniers publics et à soutenir la compétitivité de nos entreprises. Dans cet état d'esprit, je suis ravi de poursuivre ce dialogue et de répondre à vos questions.

M. Dany Wattebled, rapporteur. - Merci pour votre propos sur la fabrication des produits en Europe, c'est déterminant. Votre ministère étant garant de la souveraineté numérique, quelles sont vos réactions quand l'Éducation nationale, la plateforme Health Data Hub (HDH) ou l'École polytechnique recourent à Microsoft pour héberger leurs données, alors que cette entreprise reste soumise à la législation extraterritoriale américaine, y compris en Europe ? Envisagez-vous le rapatriement des données dans des clouds souverains, français de préférence ? Quelle est votre stratégie pour rapatrier ces données, dès lors que les contrats passés avec Microsoft sont renouvelables tous les deux ans ?

M. Éric Lombard, ministre. - Sur la question des données, il me semble que la première étape est de déterminer quelles données nécessitent une attention telle qu'elles ne peuvent être hébergées que par un cloud souverain, et quelles données n'ont pas de caractère stratégique avéré, mais dont l'exploitation ne sauraient cependant pas être laissée à d'autres pays. Ce travail doit être fait avec beaucoup de précision car il est tout à fait décisif. Il faut examiner aussi la capacité en volume des opérateurs souverains pour héberger ce qui relève de la souveraineté. Il faut également considérer l'avance dont disposent certains opérateurs non français sur des techniques de gestion dans les différents éléments du cloud, que ce soit sur l'hébergement ou le développement d'applications.

Ce travail étant fait, il me semble impératif que tout ce qui relève de la souveraineté soit hébergé sur du cloud souverain et que ce qui ne l'est pas soit effectivement rapatrié. Cependant, une entreprise comme Microsoft projette d'installer en Europe des entités protégées qui bénéficieraient de la qualification SecNumCloud. Si c'est le cas, je fais confiance dans les institutions que nous avons établies et je considère que c'est une option ouverte, même si je pense que le cloud souverain développé par certains acteurs, par construction, est sans doute encore plus protégé.

M. Dany Wattebled, rapporteur. - Il y a bien sûr une hiérarchie dans la sensibilité des données, selon qu'elles sont plus ou moins stratégiques, mais à l'ère de l'intelligence artificielle, qui se nourrit de données, en réalité toute donnée devient stratégique, même quand elle ne le parait pas à l'échelle individuelle. Voyez ce qui se passe avec les données de santé : à l'échelle individuelle, elles paraitront anodines, mais quand vous vous placez à l'échelle collective, une base de données de santé est stratégique, en particulier sur le plan économique. Ensuite, les spécialistes de la sécurité nous ont tous dit que des entreprises comme Microsoft ne présentaient en réalité aucune garantie, malgré leurs déclarations ; j'ai demandé au directeur des affaires publiques et juridiques de Microsoft France s'il pouvait déclarer sous serment que des données stratégiques ne seraient pas sorties de France sans en informer une autorité française : il m'a répondu qu'il ne pouvait pas le garantir. C'était sa réponse, elle est publique.

M. Éric Lombard, ministre. - Je partage votre avis : les données de santé d'un pays constituent un élément qu'il serait dangereux de partager avec un autre pays, même ami et allié. Et nous savons que les lois américaines, par exemple, permettent au gouvernement américain d'obliger les entreprises américaines à leur communiquer toute donnée. Cependant, les filiales qui sont établies avec d'autres partenaires européens en France, dès lors qu'elles sont qualifiées SecNumCloud, offrent la garantie de cette norme, liée à leur structure juridique et technique.

M. Dany Wattebled, rapporteur. - L'entreprise Alan va gérer les données de santé de 300 000 fonctionnaires et ayants droit. Celles-ci seront hébergées par AWS, entreprise de droit américain, donc soumise à ces lois extraterritoriales. Pourquoi l'appel d'offres de ce contrat récent n'a-t-il pas exigé la certification SecNumCloud, recommandée par l'Anssi ? Quelle garantie contractuelle l'entreprise Alan a-t-elle donnée contre les réquisitions étrangères ?

M. Éric Lombard, ministre. - N'ayant pas avec moi le détail de ce contrat, en particulier ce qu'il prévoit en matière d'hébergement, je tâcherai de vous répondre d'ici à la fin de l'audition, ou par la suite.

M. Dany Wattebled, rapporteur. - Selon des informations syndicales, le contrat d'Alan avec le ministère de la transition écologique coûterait 6,6 millions d'euros de plus par an que l'offre concurrente faite par le groupe MGEN, il en irait de même avec le volet santé de l'assurance des quelque 130 000 fonctionnaires de Bercy. Pourquoi préférer une start-up qui perd de l'argent - Alan a perdu 54 millions d'euros l'an dernier -, à un groupe stable comme la MGEN, qui est soutenue par la Matmut ? Quelles garanties ont été demandées et obtenues ?

Pourquoi ne pas recourir plutôt à des solutions open source et à des opérateurs qui nous assurent une souveraineté ? Nous faisons trop facilement comme s'il n'y avait pas d'autres opérateurs qu'américains, alors que nous avons en France des gens compétents, avec des solutions en open source qui présentent toutes les garanties. Nous avons rencontré ces entrepreneurs, ils maitrisent l'hébergement des données, ils nous ont dit qu'ils ne voulaient pas de l'aide, des subventions, mais des contrats ! Pourquoi la commande publique ne les soutient-elle pas ? C'est pourtant ce qui a réussi aux start-ups américaines, qui ont grandi grâce à la commande publique. Nous avons raté le virage numérique, est-ce qu'on va aussi rater celui de l'intelligence artificielle ? Est-ce qu'on ne peut pas rattraper notre retard, en s'appuyant sur la commande publique, et même passer devant bien de nos concurrents ?

M. Éric Lombard, ministre. - À l'évidence, le ministre et son cabinet n'ont pas influencé l'examen de l'appel d'offres que vous citez, qui a été passé par les équipes compétentes de Bercy dans le respect des règles de la commande publique dont nous discutons. Je n'ai pas eu à prendre de décision sur ce contrat, ce qui est tout à fait normal, car ce n'est pas mon rôle.

Alan, ensuite, est une start-up française, et comme beaucoup de start-up, son développement rapide lui permet de prendre des parts de marché. Comme beaucoup de start-ups également, Alan remporte des marchés alors qu'elle est déficitaire, car elle se finance par des fonds propres apportés par des investisseurs qui lui font confiance - ceci jusqu'au moment où la taille permettra d'atteindre l'équilibre économique. C'est sur ce modèle qu'Amazon, par exemple, a attendu plus de 10 ans son premier résultat positif, puis on a vu ce qu'il en a été. Cette situation de déficit ne me semble pas dirimante, et je suis sûr que la solidité financière de la compagnie a été examinée.

L'open source est utilisé couramment par beaucoup d'acteurs de la commande publique, ce n'est pas contraire à la sécurité des données - mais je reviendrai vers vous sur le sujet de ce contrat précis, une fois que j'aurai obtenu les informations idoines.

M. Michel Canévet. - Vous venez d'évoquer un seuil de 100 000 euros pour la commande publique, j'avais compris qu'il devait être porté à 143 000 euros, nous le confirmez-vous ?

Vous dites qu'il est difficile d'identifier la part française de la commande publique, d'évaluer précisément ce qui est produit sur notre territoire. Ne ferait-on pas mieux avec un label « France », pour identifier l'origine nationale des produits ? Beaucoup de consommateurs attendent un tel outil pour identifier l'origine de leurs achats.

Troisième question : les consignes données aux ministères en matière de souveraineté numérique dans la commande publique valent-elles aussi pour les opérateurs de l'État ?

Quatrième question : quelles sont vos lignes d'action en matière d'intelligence artificielle, aussi bien pour soutenir les solutions françaises et européennes, dans la mesure où la commande publique a un effet d'entrainement extrêmement important, que pour préverser notre souveraineté numérique ?

Enfin, quelles sont vos priorités en matière de simplification ? Beaucoup d'acteurs économiques sont rebutés par l'ampleur des documents à fournir dans le cadre des marchés publics, par des cahiers des charges parfois très volumineux qu'il leur faut respecter, ce qui décourage bien des entreprises : qu'en pensez-vous ?

M. Éric Lombard, ministre. - Avant de répondre à vos questions, je vous communique cette information, vérifiée par mon équipe : le président de Microsoft a déclaré n'avoir aucune offre répondant à la qualification SecNumCloud ; par conséquent, cette entreprise ne peut pas être retenue pour héberger des données souveraines.

M. Dany Wattebled, rapporteur. - C'est pourtant à Microsoft qu'on a confié les données de la plateforme HDH, de l'enseignement supérieur dont l'École polytechnique. Cela pose des questions. Il y a certainement un virage à prendre.

M. Éric Lombard, ministre. - C'est bien pour cela que nous sommes très mobilisés sur cette question. Encore une fois, il faut regarder de très près de quelles données on parle, bien identifier celles qui ne doivent en aucune façon circuler sur un cloud ouvert ; lorsque j'étais à la tête de la Caisse des dépôts, ce choix remontait au comité exécutif et les décisions étaient prises en ma présence. Vous avez raison, une information prise isolément peut apparaitre anodine, alors qu'agrégée à d'autres données, elle est très importante. C'est le cas des données de santé : à l'échelle individuelle, on parle de la protection de la personne, c'est important mais pas dans le même registre qu'à l'échelle collective, où qui en disent long de l'état de santé des Français et de celui de notre système de santé.

M. Dany Wattebled, rapporteur. - Les données sont le grain à moudre de l'IA, il faut en prendre grand soin...

M. Éric Lombard, ministre. - Nous sommes bien d'accord.

Dans le cadre du projet de loi de simplification de la vie économique, il est proposé de porter le seuil des marchés publics à 143 000 euros La décision est entre les sages mains du Parlement.

Comment peut-on mieux valoriser l'origine France ? La réalité, c'est qu'on ne le peut pas. L'ancien député Yves Jégo a certes lancé une réflexion sur le « made in France » mais les règles européennes interdisent même toute forme de préférence européenne. C'est ce que nous voulons faire changer, ou en tout cas adapter, parce que cela n'est pas conforme à l'intérêt du projet européen. Cependant, le projet européen est bien celui d'un marché unique où par exemple l'État français achète des véhicules non français et où d'autres États européens, eux, achètent des véhicules français. Et il y a bien des critères qui préservent les deniers publics et donnent l'avantage à une production proche - par exemple les critères écologiques : un bien produit à proximité est moins coûteux à transporter, et émet moins de carbone. Ce critère peut être pris en compte, mais pas la nationalité en tant que telle.

Les opérateurs de l'État sont évidemment soumis aux politiques d'achat public définies par le Gouvernement. L'Anssi les accompagne quand ils ont des questions et la Dinum veille à la diffusion de la culture et des consignes concernant les achats publics numériques.

Je vous rejoins également sur l'intelligence artificielle : il est sage que les opérateurs qui mettent de l'intelligence artificielle à disposition de leurs agents, limitent très strictement l'utilisation de celle-ci à des fins professionnelles, et l'héberger, si elle est utilisée à partir d'éléments d'information stratégiques, sur des clouds souverains. C'est pour cela que nous sommes très attentifs, au-delà de l'intérêt économique évident, à développer des acteurs français de l'intelligence artificielle. Cela nous permet de nous protéger et d'avoir les data centers sur notre territoire, que nous maitrisons. C'est un enjeu très important car demain, la création de valeur sera largement fondée sur l'analyse des données, qui fait découvrir des solutions à beaucoup de problèmes. L'intelligence artificielle est un levier de progrès si on l'utilise dans le respect de la démocratie et des règles éthiques.

Nous sommes très attentifs à la simplification. Toute personne qui a expérimenté la commande publique, en tant qu'acheteur ou candidat, en connait les lourdeurs. C'est pourquoi, que nous voulons porter plusieurs priorités en ce sens au niveau de l'Union européenne. Un grand vent de simplification souffle à Bruxelles, j'espère qu'il portera ses fruits. Nous souhaitons simplifier pour protéger nos entreprises, pour être plus efficaces dans la concurrence internationale, il y a effectivement beaucoup à faire en la matière : durée des accords-cadres, seuils des petits lots, motifs d'exclusion...

M. Dany Wattebled, rapporteur. - Nos auditions nous ont convaincus qu'il y a un problème de responsabilité : chaque administration parait travailler dans son coin, il semble y avoir des sphères concentriques, mais pas de pilote dans l'avion - la Dinum, l'Anssi, les ministères, chacun travaille de son côté, mais c'est finalement via l'Union des groupements d'achats publics (Ugap) que les commandes sont passées, dans un souci de simplicité. Quand on interroge ses responsables, ils déclinent toute responsabilité et nous renvoient aux titulaires de leurs marchés, voire aux acheteurs eux-mêmes. Cette chaîne de commandement me parait assez floue, personne n'assume clairement les responsabilités, on renvoie à des notes ou à des décisions antérieures. La Dinum fait des recommandations mais elle n'a pas le pouvoir d'inverser les choses, et finalement on continue comme avant. En Allemagne, ils ont créé un grand ministère du numérique qui regroupe toute ce qui concerne le numérique, nos voisins vont prendre de l'avance sur nous. Nous avons entendu presque tous les ministères, les pratiques varient, les lignes ne sont pas claires et personne ne semble responsable de ce qui est décidé sur le numérique. Cette dérive m'inquiète, je me demande si l'on n'est pas en train de prendre encore du retard. Nous avons besoin d'une véritable stratégie sur le numérique, globale, avec des responsabilités claires, des agences qui sont dans leur rôle et qui sont au service de cette stratégie. Voilà mon sentiment...

M. Éric Lombard, ministre. - Le responsable, vous l'avez devant vous. Il y a un ministère du numérique à Bercy, et je travaille en relation étroite avec sa titulaire, Clara Chappaz, que vous avez entendue, qui veille à la coordination de ce dont nous parlons. Lorsque des décisions doivent être prises, et elles le sont au niveau qui convient.

Ce Gouvernement n'est en place que depuis six mois, mais il a déjà organisé, sous l'autorité du Premier ministre, une réunion de tous les ministres concernés au sujet de l'intelligence artificielle, pour examiner comment elle allait devoir s'intégrer dans l'organisation de l'État, de façon à en respecter les règles, les codes et les missions, mais aussi pour examiner ce qu'elle pouvait nous apporter.

Tout cela est piloté comme il convient. Les menaces, qui font l'objet, de la part de Clara Chappaz et de moi-même, d'indications très claires aux uns et aux autres. Je remercie votre commission d'enquête, et vos questions, qui permettent de diffuser ces interrogations plus largement.

La comparaison avec l'Allemagne est toujours féconde. J'observe que quand le président de la République a réuni à l'Élysée les investisseurs qui s'intéressaient à l'intelligence artificielle, nous avons mobilisé 109 milliards d'euros d'investissement - ceci parce que les pépites européennes sont largement chez nous.

M. Dany Wattebled, rapporteur. - Il faut les garder chez nous...

M. Éric Lombard, ministre. - Nous faisons tout pour cela. Avec les grands opérateurs français du numérique, je me suis rendu aux Émirats arabes unis, pour aller voir des investisseurs passionnés qui étaient venus au sommet à Paris, dans une forme de « service après-vente ». Nous avons fait de même avec le Président de la République en nous rendant en Asie il y a 15 jours. Nous sommes très mobilisés, je travaille à l'installation de data centers sur notre territoire, en veillant à ce que des terrains soient rendus disponibles, que les branchements électriques soient assurés. Vous avez raison de souligner cet enjeu, mais je pense que c'est un des domaines où nous sommes plutôt en avance, ou en tout cas au niveau des Américains. Le patron de Nvidia est en ce moment à Paris pour le salon Vivatech, parmi d'autres entrepreneurs qui savent qu'en France, ils trouvent les talents, les entreprises et un environnement juridique favorable. Je suis donc plus optimiste que vous, en particulier sur le développement économique, sur les entreprises, mais aussi sur la façon dont l'État pilote et coordonne l'action. Si notre action n'est pas assez vigoureuse, peut-être faudra-t-il resserrer le dispositif - mais sachez que nous sommes tout à fait attentifs à ces sujets et que je partage vos préoccupations.

M. Michel Canévet. - Comment l'État accompagne-t-il l'émergence d'une stratégie industrielle et d'une stratégie d'intelligence artificielle dans notre pays ? Peut-il, par la commande publique, aider un certain nombre d'opérateurs à se développer dans notre pays ?

M. Éric Lombard, ministre. - Sur le plan international, nous sommes dans un rôle traditionnel de l'État, à savoir présenter l'excellence française, ce que nous faisons dans de nombreux domaines que vous connaissez - par exemple les Airbus, les Rafale, ainsi que d'autres grandes industries françaises qui sont au meilleur niveau mondial.

L'intelligence artificielle fait effectivement partie des projets dont nous discutons avec les États. Nous savons bien que le développement d'un nouveau secteur comme celui-ci relève des États et des entreprises. Il y a beaucoup de nations où il y a une grande proximité entre les uns et les autres, par exemple en Asie du Sud-Est.

En France, nous sommes dans un univers de concurrence différent, avec un soutien très fort de la puissance publique. Le sommet sur l'intelligence artificielle a été organisé par l'État à l'initiative du Président de la République, il s'est tenu à l'Élysée avec de grands investisseurs et des représentants d'États étrangers. Nous avons également signé un accord avec les Émirats arabes unis, engageant certains fonds placés sous l'autorité de l'État émirati. Nous avons eu aussi la participation de fonds d'investissement canadiens. Depuis plusieurs années, nous favorisons l'émergence du secteur de l'intelligence artificielle, avec un écosystème de start-ups et d'innovation étroitement liés à nos universités et à nos écoles, avec le soutien constant de Bpifrance. Vous citiez Alan, c'est une société d'excellence française, dont j'espère qu'elle aura un développement international, car nos entreprises sont aussi très performantes dans les services financiers. On en parle à l'heure actuelle dans le débat sur l'euro numérique. Ce sont des véhicules techniques qui vont permettre de développer des entreprises privées.

Pour résumer ma réponse, à l'international, nous soutenons l'excellence française, c'est le rôle de l'État ; et sur notre territoire, nous maintenons un écosystème concurrentiel qui permet aux entreprises de se développer.

M. Simon Uzenat, président. - En réalité, les États-Unis sont très offensifs à l'international, mais également sur leur marché intérieur, où les autorités utilisent pleinement le levier de la commande publique. C'est la raison pour laquelle nous vous interrogeons sur la préférence européenne.

Quel est le calendrier précis d'adoption du Spaser ? L'État devrait donner l'exemple, en tant que premier acheteur concerné par cette obligation ; il y a certes eu de l'instabilité gouvernementale, mais, ces derniers mois, le retard pris est notable. Il est urgent de donner un cadre global à cette politique d'achat.

La question de la souveraineté, ensuite, va bien au-delà du numérique, elle concerne toute la politique en matière de commande publique : souveraineté agricole, souveraineté industrielle, à l'échelle nationale et européenne. La Cour des comptes de l'Union européenne estime l'effet levier de la commande publique à près de 2 500 milliards d'euros, autour de 15 % du PIB. Rapportée à la France, cette proportion représenterait un poids économique de la commande publique compris entre 300 et 400 milliards d'euros par an - il y a peu de raisons de se contenter du chiffre de 170 milliards d'euros fourni par l'observatoire économique de la commande publique, qui porte sur les seuls marchés notifiés supérieurs à 90 000 euros HT. Comment comptez-vous vous emparer de ce levier de la commande publique pour progresser sur la souveraineté, comprise de manière large ?

Nous n'en n'avons pas encore délibéré au sein de notre commission, mais je crois que mes collègues partagent cet avis : les données publiques sont, par définition, des données sensibles. Nos collectivités territoriales, en délivrant des services publics, recueillent des données sensibles à tous les échelons - et ce sont ces données qui sont l'un des principaux carburants du développement économique. Or, nous constatons une forme de naïveté de la part de la puissance publique, en particulier de l'État, et aussi d'un certain nombre d'acteurs privés, face à cette réalité. Elle est générale, je pense par exemple aux assistants à maîtrise d'ouvrage (AMO), qui captent beaucoup de données - financières, stratégiques - et peuvent être soumis à l'application de lois extraterritoriales.

Quand on regarde les choses de près, on constate qu'il y a beaucoup d'angles morts dans la prise en compte de ces enjeux. Face à ces réalités, nos autorités expliquent nos retards en récitant des « éléments de langage », toujours un peu les mêmes, pour expliquer le retard que nous avons pris.

Voici un extrait d'un dossier de presse du Gouvernement diffusé en mai 2021, je vous le lis parce qu'il me parait emblématique. « L'adoption du cloud doit permettre d'accélérer la mise en oeuvre des engagements du Gouvernement en matière de transformation numérique des administrations. Les services numériques des administrations seront hébergés sur l'un des deux clouds interministériels internes de l'État ou sur les offres de cloud proposées par les industriels satisfaisant des critères stricts de sécurité. (...) Chaque produit numérique manipulant des données sensibles, qu'elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises ou d'applications métier relatives aux agents publics de l'État, devra impérativement être hébergé sur le cloud interne de l'État ou sur un cloud industriel qualifié SecNumCloud par l'Anssi et protégé contre toute réglementation extra-communautaire. » Ces lignes ont été écrites il y a plus de quatre ans : les priorités sont clairement définies, mais les actes n'ont pas suivi. Lorsque vous évoquez notamment la solution Bleu, qui n'est pas qualifié SecNumCloud, vous omettez de dire qu'elle repose sur des briques technologiques américaines. Nous avons interrogé Microsoft, et si, pour une raison ou pour une autre, les liens technologiques étaient coupés avec les Etats-Unis, le cloud Bleu serait rendu extrêmement vulnérable dans des délais très brefs. Certes, nous n'en sommes pas là, mais qui aurait pu prédire il y a quelques mois seulement, ce qui se passe aujourd'hui à l'échelle internationale ? En d'autres termes, comment les discours sont-ils mis en oeuvre concrètement ?

Un autre point auquel vous n'avez pas répondu concerne le soutien au TPE-PME, avec l'idée d'un Small Business Act à l'échelle de l'Union européenne. Vous nous dites que c'est l'une des quatre priorités de la France, mais concrètement, comment allez-vous construire la majorité qualifiée qui nécessaire à l'adoption d'une telle législation ? Nous avons rencontré la représentation permanente à Bruxelles et nous voyons se dessiner des lignes de force. Il semble bien que la préférence européenne trace un chemin - mais il reste très fragile, notamment quant à la définition de son périmètre d'application. Personnellement, je plaide pour un périmètre large, mais qu'en est-il concrètement des discussions avec nos partenaires européens ? Quels moyens la France se donne-t-elle pour traduire concrètement ses priorités à l'échelle européenne ?

Enfin, vous n'avez pas répondu sur le pilotage par la donnée, c'est pourtant un sujet central pour l'efficacité de la dépense publique et la commande publique en particulier. Il y a eu l'an passé 4,5 milliards d'euros de dépenses pour les services numériques, mais nous n'en connaissons pas le détail, il y a beaucoup de flou. Des réflexions seraient en cours mais nous avons besoin de transparence en la matière. Quels moyens entendez-vous vous donner pour atteindre ces objectifs de transparence à destination des citoyens et des opérateurs économiques ? Quel calendrier prévoyez-vous de suivre, car nous avons le sentiment - et ce n'est pas qu'un sentiment, c'est une réalité - que les progrès sont relativement lents ?

Vous avez mentionné tout à l'heure les 170 milliards d'euros, mais ce chiffre issu de l'Observatoire économique de la commande publique est à relativiser. Même chose quand on dit que 97 % de fournisseurs de l'État sont des entreprises dont le siège est établi en France, cela ne dit pas où la valeur est produite. Des fournisseurs peuvent avoir leur siège en France mais s'approvisionner à l'étranger. Il faut avancer sur la traçabilité des informations, ce qui s'apparente aux initiatives que vous avez prises en matière de cartographie des risques d'approvisionnement. Nous avons interrogé le ministère des armées sur ce sujet, mais la question se pose pour l'ensemble des achats et suppose d'avancer sur le pilotage par la donnée

Au terme de nos travaux, votre audition nous confirme dans le sentiment que le pilotage de l'État semble pour le moins hésitant sur les sujets de la commande publique, de la souveraineté et des considérations qui s'y rattachent. Je choisis volontairement ce qualificatif modéré, mais ce que nous voyons, c'est qu'il a fallu que vos ministres se fendent d'un courrier pour rappeler aux administrations les règles en vigueur et nous constatons dans votre propos l'absence totale de dimension interministérielle : en réalité, chacun est dans son couloir. Or, vous l'avez rappelé, l'enjeu de la commande publique mobilise les collectivités territoriales, les hôpitaux, donc bien au-delà des ministères. Il y a une dimension transversale de la commande publique, qui n'est pas traitée. Ce défaut pourrait expliquer les difficultés de mise en oeuvre, les fluctuations ou les atermoiements, même si le mot n'a pas plu à votre collègue hier. En tout état de cause, nous constatons un décalage très profond entre les discours et la mise en oeuvre.

Quelles sont donc vos perspectives pour la commande publique, sur le plan de sa gouvernance, du suivi des décisions que vous prenez ? Nous voyons les instances se multiplier, les agences, les directions - et tout cela parait complexifier le dispositif, à rebours des objectifs que nous pourrions poursuivre de façon consensuelle.

M. Éric Lombard, ministre. - Je partirai de votre conclusion, que je ne partage pas : il y a une direction des achats de l'État et une direction des affaires juridiques à Bercy. C'est avec leurs responsables que j'ai préparé cette audition, ainsi qu'avec les cabinets de Bercy. Je crois qu'il y a deux sujets distincts dans votre propos : la commande publique d'une part, les données et leur l'hébergement, d'autre part - ces deux sujets sont liés, mais ils sont distincts.

La politique d'achat de l'État est pilotée par ces deux directions. Quand sera-t-elle simplifiée ? Le Spaser est en concertation interministérielle et devrait être publié avant la pause estivale.

Sur les questions de souveraineté, j'entends très bien votre position. Il faut se dire que le monde a changé depuis le 10 janvier dernier, ce n'est pas anodin et affecte la façon dont nous concevons les menaces sur notre souveraineté. La pertinence de la vision du monde portée par le Président de la République, celle de son discours de la Sorbonne de 2017, où la notion de souveraineté avait toute sa place et qui était peu relayée parmi nos alliés les plus proches, est maintenant reconnue. Chacun voit désormais que les choses sont complexes et risquées.

Voyez la question des terres rares : tout le monde pensait que nos filières d'approvisionnement de matériaux critiques étaient assurées, jusqu'à ce que la Chine, tout en restant un pays ami, décide de ne plus nous approvisionner - et il y a beaucoup d'autres exemples de ce type. Voyez aussi telle entreprise française de défense, qui s'approvisionnait de longue date auprès d'une entreprise allemande : il a suffi d'un rachat de cette entreprise par une autre entreprise d'un pays pourtant membre de l'Otan, pour qu'il soit décidé brutalement de cesser l'approvisionnement, obligeant l'entreprise française à monter de toutes pièces une nouvelle chaîne de production, au risque sinon de compromettre son autonomie stratégique. Notre modèle de défense est indépendant et souverain, les autres pays européens se rendent compte maintenant que cette indépendance a de la valeur, beaucoup plus qu'ils ne le réalisaient il y a six mois à peine.

L'analyse de la souveraineté a changé, et les questions que vous posez prennent une pertinence nouvelle. Quand on fait un achat, au-delà des règles de la commande publique que j'ai rappelées, il faut aussi s'assurer de l'indépendance de la filière d'approvisionnement, en disponibilité, mais aussi par rapport à ce qu'on appelle la deuxième clé, c'est-à-dire un approvisionnement qui donnerait au vendeur la possibilité de nous interdire de nous servir de ce qu'on aurait fabriqué avec ce produit.

Avec Marc Ferracci, nous venons de signer le contrat stratégique de la filière nucléaire. Il y a là des savoir-faire français, des schémas d'approvisionnement diversifiés et organisés pour assurer notre indépendance énergétique dans les dizaines d'années qui viennent. Cette réflexion, nous devons l'avoir sur toutes les dimensions de l'action publique et renouveler notre regard sur la notion d'indépendance, cela vaut à l'échelle de notre pays comme de l'Europe. Et je vous rejoins pour dire qu'il faut examiner très concrètement d'où viennent nos approvisionnements et nos achats, il faut regarder qui sont les actionnaires et où ils sont basés. Cela oriente, en fonction de nos alliances, de nos amitiés, de notre histoire, les choix que nous pouvons faire.

Sur les questions liées au cloud, il faut considérer la dimension de cybersécurité. Des établissements importants comme les hôpitaux ont été ciblés par des hackers, causant beaucoup de dégâts. Avec l'Anssi et Bpifrance, nous avons mis en place des outils pour aider le secteur public et les PME, par la prévention, à se prémunir contre les attaques. Sur la protection des données, il y a des solutions souveraines, comme OVH, Outscale, filiale de Dassault - ou encore NumSpot, un cloud souverain que la Caisse des dépôts, avec Docaposte et Bouygues Télécom pour créer un cloud souverain, complètement national et majoritairement public. Ces solutions se développent et sont à la disposition de l'État.

À l'initiative de la ministre du numérique et de l'intelligence artificielle, nous veillons à ce que l'hébergement des données se fasse dans des clouds souverains quand il y a lieu qu'il le soit. Certains grands opérateurs américains, qui disposent parfois d'une avance technologique, sont en train de construire avec l'Anssi des solutions SecNumCloud. Nous menons aussi un travail d'information auprès des opérateurs publics, certains vont même jusqu'à faire tester la sécurité de leur système d'information par des hackers. Allons-nous assez vite par rapport à la circulaire de 2021 ? Élisabeth Borne avait demandé d'accélérer les choses, par une circulaire de 2023. Le Premier ministre a réuni les ministres qui ont des administrations importantes, pour leur demander d'accélérer.

Nous utilisons la donnée et l'intelligence artificielle pour améliorer la qualité du service public. J'en ai discuté avec les opérateurs du système de santé, où elle peut aider à identifier plus rapidement les traitements, les méthodes de soins et de diagnostic. À Bercy, elle est utilisée dans beaucoup de services, notamment à la direction générale des finances publiques, pour lutter contre la fraude. Cela permet d'être plus efficace et plus rapide.

Je tiens à vous rassurer au sujet du pilotage engagé, à l'échelle de l'État, de cette politique. Vous avez pu constater, en particulier, l'énergie que met Clara Chappaz dans l'exercice de ses missions.

La complexité de nos procédures, effectivement, écarte de la commande publique des PME et des TPE, même si les appels d'offres sont ouverts à toutes les entreprises. C'est pourquoi nous voulons simplifier les règles, à l'échelle nationale comme européenne. Nous nous efforçons aussi d'accompagner les entreprises, les fonctionnaires de Bercy sont à leur disposition pour expliquer comment répondre à un appel d'offres. Je vous rejoins aussi pour dire qu'il serait utile que les collectivités et que les opérateurs publics fassent ce travail d'explication. Lorsque j'étais à la tête de la Caisse des dépôts, qui est un grand acheteur, je veillais à ce que nos achats soient responsables, en termes de transition écologique, d'éthique, sur le caractère inclusif des entreprises, aussi bien que sur le développement économique local. Si 97 % des bénéficiaires de la commande publique sont des entreprises françaises, c'est bien parce que les opérateurs publics ont ces objectifs en tête, ceux que nous diffusons pour les achats publics.

Les règles européennes vont dans le même sens, mais je crois que nous pouvons aller plus loin. À Bercy, nous venons de lancer un label sur les produits d'épargne investis à 70 % en Europe, pour inciter à ce que l'épargne européenne soit investie en Europe. J'ai fait valoir, au Conseil Affaires économiques et financières, cette priorité pour l'effort européen sur la défense, nous avons été entendus. Il y a encore beaucoup de dimensions où l'Europe doit être plus européenne.

M. Dany Wattebled, rapporteur. - C'est un réveil...

M. Éric Lombard, ministre. - Pour ma part, cela fait longtemps que je suis réveillé et je crois comprendre que vous aussi... Le plan sur la défense en Europe a été voté à l'unanimité par ce Conseil. C'est un progrès ! J'entends donc parfaitement ce que vous nous dites. Vos préoccupations nous incitent à aller plus vite - mais je ne veux pas vous laisser l'impression que nous ne sommes pas dans le rythme.

M. Simon Uzenat, président. - Chacun convient que le monde a changé. Il a changé depuis un certain temps déjà. Je pense à la crise sanitaire et à ce qui s'est passé avec les masques: comme on appelait à la relocalisation des capacités de production, des entreprises ont pris ce risque d'en produire ; mais on a vu que les hôpitaux et l'Éducation nationale continuaient à commander des masques fabriqués en Chine. Résultat : des entreprises ont dû mettre la clé sous la porte, je l'ai vu chez moi en Bretagne.

La première élection de Donald Trump incitait déjà à la plus grande vigilance - ce n'est pas pour rien que le président de la République élu en 2017 et ses gouvernements successifs, ont tenu des discours très volontaristes. Donc oui, le monde a changé, des bouleversements se sont accélérés et amplifiés récemment, mais la tendance est à l'oeuvre depuis un certain temps et elle appelait, de notre point de vue, des actions beaucoup plus résolues depuis un bon moment.

Ensuite, sur la question du pilotage interministériel, il y a bien une DAE, ses agents font un travail conséquent, ce n'est pas le sujet. Ce qui nous alerte, c'est de constater que des ministres sont obligés de rappeler les règles en vigueur à leurs administrations, c'est de voir que des marchés publics sont attribués en contradiction avec les principes fixés... Ce que nous voyons, c'est que dans l'organisation globale de l'État - et nous tenons compte, bien entendu, de sa taille - la commande publique, aux nombreuses ramifications, ne constitue pas une politique publique à part entière, c'est notre conviction. On ne peut certes pas vous en faire le reproche, mais les collectivités ont été relativement absentes de vos propos, alors que ce sont des acteurs clés. Vous allez nous dire que votre collègue François Rebsamen est chargé des collectivités territoriales, mais justement, il faudrait des lignes communes sur les achats publics. Même chose pour les hôpitaux, où l'on nous dit que les contraintes financières qu'ils subissent rendent les objectifs fixés en matière d'achat public difficiles à tenir. Dans ces conditions, nous voyons bien des dysfonctionnements dans ce pilotage interministériel, il faudrait les résoudre par une action beaucoup plus rapide et volontariste.

M. Éric Lombard, ministre. - Je vous donne acte qu'il faut que nous fassions mieux. Je compte mobiliser davantage l'Observatoire économique de la commande publique, c'est un outil précieux, et travailler avec la DAE et la DAJ pour augmenter la transversalité de nos actions : nous pouvons faire mieux, et c'est ce que nous allons faire.

J'aborde la question des collectivités locales avec prudence dans cette assemblée, car vous connaissez mieux que moi le principe de leur libre administration. Nous sommes à leur disposition pour les accompagner, mais il s'agit d'une branche de l'État qui n'est pas complètement sous notre autorité, vous en conviendrez.

Toute entité, même une entreprise qui gagne beaucoup d'argent, doit tenir compte d'une contrainte budgétaire ; il lui faut s'organiser et définir ses priorités en conséquence. Le budget des hôpitaux n'a pas été restreint ces dernières années, peut-être que les fonds ont-ils été alloués à d'autres priorités, mais nous ne pouvons guère parler de rigueur budgétaire envers les hôpitaux, le terme n'est pas approprié : les hôpitaux ont bénéficié de dotations qui ont augmenté plus vite que les autres branches de l'État - on me le reprochera peut-être de le dire, mais c'est le cas.

M. Simon Uzenat, président. - Nous sommes bien évidemment attachés à la libre administration des collectivités territoriales et nos collectivités sont responsables. Toutefois, quand le budget qui leur est alloué est réduit de manière brutale - certes par le Parlement, en fait par les parlementaires qui soutiennent votre gouvernement -, les collectivités voient fondre leurs marges de manoeuvre. On ne peut pas faire comme si l'État n'avait pas d'impact sur leurs moyens, les contraintes qui s'appliquent à elles, les règles qu'elles doivent mettre en oeuvre, les moyens humains en termes d'ingénierie dont elles disposent. Cela reste un sujet central.

Enfin, sur le pilotage par la donnée, je regrette l'absence de réponses concrètes. Je vous serais reconnaissant de nous en dire davantage, sur les intentions de votre gouvernement pour plus de transparence en la matière, au bénéfice des opérateurs économiques et de nos concitoyens.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo, disponible en ligne sur le site du Sénat.

La réunion est close à 18 heures.