L'urgence d'agir pour éviter la sortie de route : Piloter la commande publique au service de la souveraineté économique - Rapport

Rapports de commission d'enquête

Rapport n° 830 (2024-2025), tome I, déposé le 8 juillet 2025

Les informations clés

Nature

Rapport de commission d'enquête

F. DÉFAILLANCES ET CONTRADICTIONS : L'ÉTAT PRIS EN FAUTE

1. Souveraineté et innovations françaises : les ambivalences de l'État

a) La carte nationale d'identité électronique, une occasion manquée pour promouvoir l'innovation française

La commission d'enquête a relevé, au cours de ses travaux, des difficultés persistantes de l'État à retenir, dans le cadre de ses marchés publics, des start-ups ou PME françaises et européennes innovantes, en raison notamment de craintes quant à la robustesse des prestataires comme de leurs solutions. Au regard de l'ensemble des auditions réalisées par la commission d'enquête, ces craintes, qui s'apparentent plutôt à des prétextes, n'apparaissent néanmoins pas fondées.

Illustration de ces difficultés, le déploiement de la nouvelle carte nationale d'identité électronique (CNIe) française, projet structurant mêlant hautes exigences de sécurité et d'innovation technologique, semble avoir été conduit au détriment de solutions émergentes en France ayant, par dépit, poursuivi leur déploiement à l'étranger, où elles ont rencontré un grand succès.

La nouvelle carte nationale d'identité électronique

Conformément au règlement (UE) 2019/1157 du Parlement européen et du Conseil, visant à renforcer et harmoniser les niveaux de sécurité des cartes nationales d'identité par la mise en circulation de nouvelles cartes d'identité conformes au plus tard le 2 août 2021, la France a entrepris en 2019 une démarche de modernisation de la carte d'identité, dont le format précédent datait de 1995.

Ces nouveaux titres de sécurité doivent ainsi, en application des nouvelles exigences européennes, comporter des données biométriques, des empreintes digitales et photographies dans un composant électronique hautement sécurisé, comme cela existe déjà sur les passeports, afin de réduire le risque de falsification ou de lecture à distance non désirée.

Pour satisfaire aux exigences européennes ainsi qu'aux enjeux de sécurité nationaux, elle se caractérise par un nouveau format « ID-1 » ainsi que par l'introduction de technologies innovantes garantissant la sécurisation du titre et des données qu'elle comporte, parmi lesquelles :

- un fond sécurisé, comportant des symboles visibles à la loupe et se prolongeant sur les bords transparents sécurisés permettant de vérifier l'intégrité du titre ;

- des dispositifs holographiques de nouvelle génération, changeant de couleur et protégeant la photographie du titulaire de la carte (technologie « DOVID ») ;

- une puce gravée hautement sécurisée qui contient les mentions apposées sur la carte ainsi que la photographie du titulaire et deux de ses empreintes digitales ;

- une image changeante (technologie « MLI - multiple laser Image) permettant de certifier que l'image du titulaire n'a pas été modifiée ;

- un cachet électronique visible qui permet de signer numériquement la carte et assure l'intégrité et l'origine du titre en cas d'impossibilité d'accéder aux données de la puce.

Le déploiement de ce nouveau modèle de CNI a été progressif : dans un premier temps, une phase transitoire a eu lieu dans plusieurs départements, puis, à compter du 8 juillet 2021, toute demande de CNI déposée a donné lieu à la délivrance du nouveau modèle.

Source : ANTS

Le pilotage de la conception de la nouvelle carte d'identité a été assuré par la direction des libertés publiques et des affaires juridiques du ministère de l'intérieur et l'Agence nationale des titres sécurisés (ANTS), chargés de définir les exigences attendues en matière de sécurité physique du titre, ainsi que celles en matière de sécurité des approvisionnements, de constitution de stock de sécurité et de maintien des conditions de sécurité de la puce.

La production de la CNIe a été confiée à l'Imprimerie nationale (aujourd'hui IN Groupe), société anonyme à capitaux publics, qui, conformément à l'article 2 de la loi n° 93-1419 du 31 décembre 1993, est « seule autorisée à réaliser les documents déclarés secrets ou dont l'exécution doit s'accompagner de mesures particulières de sécurité, et notamment les titres d'identité, passeports, visas et autres documents administratifs et d'état civil comportant des éléments spécifiques de sécurité destinés à empêcher les falsifications et les contrefaçons ».

Pour la conception et la fabrication de la CNIe, l'Imprimerie nationale a fait appel à des fournisseurs externes en mesure de délivrer des technologies de pointe assurant la sécurisation du titre, conformément au cahier des charges transmis par l'ANTS.

Selon les informations transmises à la commission d'enquête par l'Imprimerie nationale, la sélection de ces fournisseurs s'est effectuée de manière différenciée en fonction des niveaux d'innovation et de sécurité exigés pour chaque composante :

- Pour certaines prestations de sécurisation physiques de la CNIe, exigeant des garanties de sécurité et de confidentialité maximales, des fournisseurs ont été sélectionnés en application de la procédure prévue à l'article L. 2512-3 du code de la commande publique. Cette procédure, distincte de celle applicable aux marchés de défense ou de sécurité, permet aux marchés publics qui exigent le secret, ou dont l'exécution doit s'accompagner de mesures particulières de sécurité ou pour lesquels la protection des intérêts essentiels de l'État l'exige, de déroger aux obligations de publicité et de mise en concurrence prévues par le code. Pour ces marchés, l'Imprimerie nationale a néanmoins consulté plusieurs prestataires potentiels par des appels d'offres restreints sans publicité auprès de plusieurs candidats, et sélectionné le plus pertinent d'entre eux selon elle. C'est le cas pour la fourniture des puces sur la période 2020-2022 et la fourniture des hologrammes dits « Dovid ».

- Pour certaines composantes émergentes sur le marché, l'Imprimerie nationale a organisé une sélection de prestataires en deux temps afin de répondre, dans un premier temps, à des exigences particulières de sécurité pour le lancement de la fabrication, avant d'ouvrir la procédure de sélection à davantage de candidats dans un second temps. À titre d'exemple, l'acquisition de polycarbonate (plastique utilisé pour la CNIe) ou d'encre a été conduite, dans la phase de mise en production du produit, sous la forme d'un marché négocié sans publicité ni mise en concurrence préalables, en raison de motifs techniques rendant nécessaire que des fournisseurs historiques qualifiés exécutent la première phase de production. À compter de 2023, de nouveaux marchés ont été lancés selon la procédure avec négociation, le besoin ne pouvant être satisfait sans adapter des solutions immédiatement disponibles.

- Enfin, pour certaines composantes, telles que les puces électroniques, IN Groupe a eu recours dès l'origine à une procédure avec négociation classique, conforme aux exigences de mise en concurrence et de publicité traditionnelle du code de la commande publique.

Si la procédure de sélection de prestataires d'IN Groupe apparaît conforme aux dispositions du code de la commande publique, qui permettent certaines dérogations aux exigences de publicité et de mise en concurrence pour des motifs liés au secret ou à la protection des intérêts essentiels de l'État, cette entreprise fait néanmoins état d'un manque de volontarisme pour l'inclusion de technologies innovantes émergentes et développées en France.

IN Groupe n'a par exemple pas jugé utile de consulter, dans le cadre des travaux préalables à la mise en production de la CNIe, certaines entreprises émergentes sur le marché français. M. Cosimo Prete, président de l'entreprise CST, qui a mis au point une encre de sécurisation des titres par un procédé de vérification visuelle colorimétrique (Optical Variable Material) a ainsi regretté de ne « jamais [avoir] été consulté sur le projet de carte nationale d'identité française, malgré toutes les recommandations obtenues de la part du ministère de l'intérieur »^249(*).

Il n'appartient évidemment pas à la commission d'enquête de se prononcer sur le bien-fondé du choix de prestataires de l'Imprimerie nationale, celle-ci ayant en outre indiqué que « la technologie proposée par CST ne faisait pas partie des technologies obligatoires spécifiées par le règlement européen, ni par celles spécifiées par l'ANTS et le ministère de l'intérieur, mais constitue une sécurité supplémentaire que chaque pays peut choisir ou non d'intégrer »^250(*) et que cette technologie ne présentait pas des garanties de sécurité suffisantes au regard des exigences du ministère de l'intérieur (pérennité du fournisseur, situation financière, technologie multisourcée, présence de références prouvant sa robustesse).

Néanmoins, la solution de cette entreprise ayant été sélectionnée, quelques mois plus tard, pour être intégrée au sein des titres d'identité allemands, portugais, australiens ou encore mexicains, ainsi que très récemment au sein du permis de conduire de l'État du Texas, il s'agit de toute évidence d'une regrettable illustration d'une occasion manquée pour un pouvoir adjudicateur français de soutenir une innovation française, ayant conduit celle-ci à poursuivre son expansion à l'étranger.

La commission d'enquête s'interroge d'autant plus sur cette décision au vu des engagements de l'entreprise française pour lever des craintes relatives à la robustesse de la technologie présentée. M. Cosimo Prete a en effet indiqué avoir pris contact avec la direction de l'Imprimerie nationale pour « expliquer que des stocks de sécurité avaient été constitués pour garantir la livraison des titres pendant les dix prochaines années et qu'ainsi, quand bien même l'entreprise viendrait à disparaître, l'Imprimerie nationale pourrait se servir dans ces stocks de matière première pour imprimer les titres »^251(*).

En définitive, ce projet structurant pour la souveraineté française témoigne tristement des réticences de certains pouvoirs adjudicateurs à favoriser l'émergence d'entreprises innovantes françaises en raison des craintes liées à la pérennité et la robustesse des solutions développées. La commission d'enquête s'inquiète de la tendance de l'État et de ses opérateurs à privilégier, par facilité, des candidats plus installés sur les marchés, ce qui représente un frein dramatique au développement ainsi qu'à la structuration de filières innovantes françaises et européennes. Elle formule des recommandations dans la troisième partie de ce rapport à ce sujet.

b) La plateforme des données de santé face aux contradictions de l'État

De la même manière, la commission d'enquête a relevé, dans l'ensemble, une grande ambivalence de l'État s'agissant des enjeux de souveraineté numérique et de protection de données sensibles dans le cadre de la commande publique.

Malgré une doctrine de l'État s'étant étoffée ces dernières années, s'agissant notamment de l'hébergement souverain des données, de nombreux ministères et opérateurs persistent à s'en éloigner de peur de modifier des usages anciens ou au prétexte de l'absence de solutions équivalentes à celles proposées par des acteurs étrangers historiques.

Le cas du Health Data Hub, désormais intitulée plateforme des données de santé (PDS), est à ce titre emblématique.

La plateforme des données de santé (PDS)

Groupement d'intérêt public (GIP) institué par la loi du 24 juillet 2019^252(*), la plateforme de données de santé avait pour objectif de favoriser l'utilisation et d'accroître les possibilités d'exploitation des données de santé dans les domaines de la recherche, de l'appui au personnel de santé et du pilotage du système de santé.

La création d'une telle plateforme fait suite aux préconisations du rapport sur la stratégie française et européenne en matière d'intelligence artificielle^253(*), qui appelait à la constitution de grandes plateformes de données dans l'ensemble des secteurs stratégiques tels que la santé.

L'article L. 1462-1 du code de la santé publique lui confie les missions suivantes :

- réunir, organiser et mettre à disposition des données, issues notamment du système national des données de santé (SNDS) et promouvoir l'innovation dans l'utilisation des données de santé ;

- informer les patients, promouvoir et faciliter l'exercice de leurs droits ;

- contribuer à l'élaboration des référentiels de la CNIL ;

- faciliter la mise à disposition de jeux de données de santé présentant un faible risque d'impact sur la vie privée ;

- contribuer à diffuser les normes de standardisation pour l'échange et l'exploitation des données de santé ;

- accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d'appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.

Le choix de confier l'hébergement des données de la plateforme à Microsoft Azure, et non à une solution souveraine, soulève des interrogations légitimes, notamment compte tenu de la sensibilité forte de ces dernières mais également au regard de la doctrine de l'État en matière de protection des données, déjà existante en 2019.

De fait, depuis la loi n° 2016-1231 du 7 octobre 2016 pour une République numérique, l'État, les collectivités territoriales ainsi que les autres personnes de droit public ou privé chargées d'une mission de service public sont tenus de « préserver la maîtrise, la pérennité et l'indépendance de leurs systèmes d'information ». Or, comme l'ont confirmé plusieurs interlocuteurs devant la commission d'enquête, le recours aux solutions d'entreprises comme Google, Apple, Facebook, Amazon et Microsoft (Gafam) présente des écueils clairs en matière de souveraineté et de protection des données, notamment en raison de l'application des lois extraterritoriales dont la portée est développée en troisième partie du présent rapport.

Le choix de recourir à la solution de Microsoft est d'ailleurs intervenu dans une période de réaffirmation, à l'échelle européenne, des enjeux de protection des données vis-à-vis de pays tiers. Entre 2015 et 2020, la Cour de justice de l'Union européenne a en effet rappelé, à deux reprises, la nécessité que le transfert de telles données ne s'effectue que vers des pays présentant un niveau de protection équivalent à celui présent en Europe.

La CJUE a ainsi invalidé, dès 2015, l'accord transatlantique sur le transfert de données de citoyens européens vers les États-Unis, dit « Safe Harbor »^254(*), au motif que les États-Unis ne présentaient pas un niveau de protection de données à caractère personnel comparable à celui des autorités nationales européennes. Cinq ans plus tard, la Cour reprend des arguments similaires pour dénoncer le Privacy Shield, accord conclu à la suite de l'invalidation du Safe Harbor pour reconnaître l'adéquation de protection des données entre l'UE et les États-Unis^255(*). Après avoir rappelé qu'un transfert international de données ne peut s'effectuer « que s'il est prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et des voies de droit effectives », la Cour observe que les garanties de protection équivalente des données à caractère personnel transférées depuis l'Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données » peuvent être limitées [aux États-Unis] par, notamment, les exigences relatives à la sécurité nationale, à l'intérêt public et au respect de la législation » visant ainsi explicitement les effets des lois extraterritoriales sur les données transférées. La Cour invalide ainsi, une fois de plus, la présomption de protection équivalente des données, et rappelle les atteintes que porte le Privacy Shield aux exigences du règlement général de protection des données (RGPD) ainsi qu'aux articles 7^256(*) et 8^257(*) de la Charte des droits fondamentaux de l'UE.

Les risques liés au partage de données avec les Gafam ont été à maintes reprises relevés lors des auditions conduites par la commission d'enquête. L'ancien Haut responsable chargé de l'intelligence économique auprès du Premier ministre, M. Alain Juillet, rappelait ainsi que les lois extraterritoriales peuvent permettre un transfert de données « aux concurrents américains de nos entreprises », ajoutant, en réponse à une interrogation sur la plateforme des données de santé, « Je connais des entreprises françaises qui ne travaillent qu'avec Microsoft. Si vous leur dites qu'en recourant exclusivement aux services de Microsoft, toutes leurs données peuvent être transmises à la concurrence, elles vous répondent que vous êtes paranoïaques, jusqu'à ce qu'elles finissent par perdre une affaire... »^258(*)

En dépit de ces éléments, le ministère de la santé, dont la titulaire était alors Mme Agnès Buzyn, a, ainsi qu'elle l'a confirmé devant la commission d'enquête^259(*), retenu la solution d'hébergement de la plateforme des données de santé proposée par Microsoft, au motif qu'elle était la seule à présenter la capacité de stockage et les garanties de sécurité nécessaires.

Selon l'ancienne ministre, aucune autre alternative crédible ne lui aurait été soumise, celle-ci ayant en effet précisé devant la commission d'enquête : « il m'a été indiqué que le choix n'était pas entre Microsoft et un acteur européen mais entre faire le Health Data Hub avec Microsoft comme hébergeur ou ne pas le faire du tout. Mes services m'ont indiqué qu'aucun autre outil ne pourrait assurer cette fonction avant quatre ans »^260(*).

Interrogés sur la procédure ayant conduit à la sélection de la solution Microsoft Azure, les responsables de la plateforme des données de santé ont indiqué à la commission d'enquête qu'une phase de préfiguration de la plateforme a été menée entre 2018 et 2019, sous l'égide de la Drees^261(*), avec l'appui du cabinet de conseil Capgemini et la participation de plusieurs acteurs de l'écosystème (Cnam, chercheurs, hôpitaux, start-ups) afin de définir les exigences fonctionnelles, techniques et de sécurité de la future PDS. Il a ainsi été précisé que « plus d'une dizaine d'acteurs industriels de référence et d'acteurs de la recherche ont été consultés »^262(*) afin d'évaluer leur capacité à répondre à ces exigences.

La commission d'enquête n'a pas eu accès à des éléments permettant d'attester que de telles rencontres ont eu lieu, au-delà d'une simple comparaison des caractéristiques techniques des offres sur la base d'informations accessibles au grand public. Plusieurs rencontres avec des responsables d'entreprises françaises proposant des solutions d'hébergement souveraines permettent par ailleurs de conclure que le travail de sourçage effectué par le ministère de la santé était insuffisant, ces responsables ayant indiqué que les consultations n'ont en réalité consisté qu'en de simples échanges téléphoniques non préparés, et non à un processus transparent et complet de dialogue et d'information qui aurait permis d'obtenir un véritable panorama de l'ensemble des solutions disponibles sur le marché.

Étude de l'écosystème technique conduite pour identifier la solution d'hébergement en février 2019

Source : Plateforme des données de santé.

S'il est ainsi affirmé que le recours à la solution d'hébergement de Microsoft Azure était impératif au regard des exigences de sécurité, la commission d'enquête a constaté que ce choix pouvait également être motivé par l'opportunité que présentait le marché interministériel conclu avec l'Ugap, qui proposait une telle solution. L'étude comparative des solutions existantes au lancement de la plateforme par la Drees, présentée ci-dessus, indique en effet qu'une autre solution d'hébergement, française, disposait de protection en matière de sécurité, de fonctionnalité et de performance équivalentes à celle d'Azure, mais ne jouissait pas, en revanche, de véhicule contractuel avec le ministère, pouvant engendrer un surcoût de réalisation et une durée de mise en oeuvre de cinq à huit mois supérieure à celle proposée par l'Ugap.

Une note réalisée par la Drees, à l'attention de la ministre des solidarités et de la santé, en date de février 2019^263(*), indique par ailleurs que si « au vu des impératifs de sécurité, de qualité et de délais de réalisation du projet, la seule solution d'hébergement et de traitement identifiée, convenant aux attentes et faisant consensus (...) est Microsoft Azure disponible via l'Ugap » pour la réalisation du prototype de la plateforme des données de santé, « davantage de choix sont disponibles quant à la prestation de réalisation de la plateforme » et que « chacun des acteurs français sollicités (Atos, Open, Thalès), détenteur d'un marché existant, se considère à même de répondre au besoin dans les délais impartis, et nous a communiqué des propositions au niveau de qualité attendu ».

Il aurait donc pu être décidé, sur la base de ce constat, de scinder la prestation en faisant appel à Microsoft pour le seul prototype, afin de répondre à une compréhensible « nécessité de démonstration de valeur en délais contraints », et de lancer dans le même temps une procédure de mise en concurrence pour la réalisation de la plateforme, permettant à l'ensemble des acteurs cités de se porter candidats. C'est en tout cas ce qui était envisagé à l'époque.

Pourtant, dans sa réponse au questionnaire de la commission d'enquête, la Plateforme de données de santé affirme que « le lancement d'un appel d'offres aurait entraîné un délai de mise en oeuvre important et aurait soit conduit au même résultat soit à une procédure infructueuse, étant donné que les solutions souveraines ne disposaient pas encore des services requis à ce moment »^264(*). Il y est également indiqué que « cette approche [de recours à l'appel d'offres] n'était pas compatible avec les délais de mise en oeuvre imposés par le ministère, n'aurait malheureusement pas non plus permis de soutenir les entreprises françaises dans le développement des services manquants, dans la mesure où cela aurait nécessité un temps conséquent mais également une enveloppe financière très importante - une telle politique publique de soutien ne relevait par ailleurs pas des missions de la future plateforme des données de santé, ni même du ministère de la santé »^265(*). Ces affirmations contredisent néanmoins les résultats de l'étude comparative et la note de la Drees mentionnés ci-avant, indiquant clairement que des acteurs français étaient en mesure de répondre à certaines prestations pour la mise en oeuvre de la plateforme.

La commission d'enquête s'étonne par ailleurs que la ministre de l'époque n'ait, visiblement, pas eu accès à l'ensemble de ces informations, puisqu'une note d'arbitrage lui étant adressée mentionne des délais d'attente pour le recours à une solution souveraine allant de deux à six ans, et non cinq à huit mois comme indiqué dans l'étude comparative de la Drees exposée plus haut.

Devant la commission d'enquête, M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) confirmait que « lorsque le Health data hub a été lancé en 2019, il aurait effectivement été envisageable de recourir exclusivement à des acteurs français, mais avec un coût beaucoup plus élevé et un délai beaucoup plus long, car des développements supplémentaires substantiels auraient été nécessaires pour des fonctionnalités alors absentes des offres des fournisseurs de cloud français »^266(*), rejoignant ainsi le sentiment de la commission d'enquête que ce choix relevait au moins en partie de considérations d'ordre financier et calendaire.

Le témoignage de M. Cédric O, alors conseiller du Président de la République chargé de l'économie numérique puis secrétaire d'État chargé du numérique, corrobore également cette intuition puisque celui-ci a indiqué que le recours à Microsoft relevait clairement d'une volonté d'accélérer les délais de mise en oeuvre du projet : « à l'époque, nous avions pris une décision temporaire pour démarrer rapidement en mettant la plateforme à disposition, [...] l'objectif était de permettre à nos chercheurs d'avancer rapidement pendant deux ans »^267(*).

Au regard de ces éléments, la commission d'enquête ne peut que déplorer que des enjeux de délais aient pu conduire à se passer d'une procédure de mise en concurrence plus large, sans recours à une centrale d'achat, pour un marché aussi crucial que celui-ci, dont l'effet levier certain sur la filière française d'hébergement souverain en nuage aurait, à tout le moins, mérité un véritable processus de sourçage et de dialogue avec les entreprises du secteur.

Lors de son audition, Mme Agnès Buzyn a ainsi souligné que le « dilemme »^268(*) de l'hébergement de la PDS n'avait pas été résolu par ses successeurs et qu'il ne s'agissait donc pas selon elle « d'une erreur manifeste de [sa] part et de [son] cabinet ou de [ses] services »^269(*) que de l'avoir confié à Microsoft, puisqu'aucun ministre depuis son départ du Gouvernement n'était parvenu à « rectifier le tir »^270(*).

Il s'agit surtout, pour la commission d'enquête, de la preuve de l'absence de pilotage interministériel de ce dossier depuis son lancement et d'un manque flagrant de volonté politique ainsi que d'une distorsion majeure entre les actes et les discours tenus par les ministres chargés de la santé qui se sont succédé depuis 2020.

La procédure d'élaboration de la plateforme illustre tristement le réflexe, que la commission d'enquête juge largement dépassé pour un acteur aussi outillé que le ministère de la santé, visant à recourir, par facilité, à des solutions certes conformes au droit mais peu vertueuses pour l'innovation et l'industrie française et européenne, se passant d'une véritable stratégie d'achat vertueuse en amont d'un projet si structurant.

Ce constat est amplifié par les rencontres qu'a effectuées la commission d'enquête avec des acteurs européens à la pointe de la technologie d'hébergement de données, qui ont rappelé avec force d'une part, leur capacité à répondre et remporter des marchés de telle envergure et, d'autre part, le rôle crucial que joue la commande publique dans la structuration de leurs offres.

M. Stéphane Blanc, président-directeur général d'Antemeta, déplorait ainsi « qu'en 2023, le top 10 des entreprises de services du numérique (ESN) a concentré près de 1,5 milliard d'euros de commandes informatiques de l'État, soit environ 40 % du budget public des nouvelles technologies de l'information ; tandis qu'aucune PME ni ETI de moins de 250 millions d'euros de chiffres d'affaires n'apparaît dans le classement des 30 premiers fournisseurs »^271(*), quand Jérôme Lecat, PDG de Scality, rappelait que « 80 % des dépenses de l'État en matière de cloud et de logiciels sont effectuées auprès des fournisseurs américains » créant ainsi « une dépendance évidente qui limite notre autonomie stratégique ; une telle disproportion ne permet pas à une filière française du numérique d'émerger réellement »^272(*).

Aussi, ces entrepreneurs semblent partager les premiers constats de la commission d'enquête à l'égard de la PDS en affirmant qu'« il y a en réalité des offres françaises, mais beaucoup de responsables des achats publics français ont peur de faire confiance à des sociétés françaises »^273(*), rappelant le rôle évident que la commande publique peut jouer en matière d'entraînement sur l'économie française et soulignant néanmoins « un problème de formation, mais également une peur, car la responsabilité de l'acheteur est d'ordre pénal, ce qui le conduit à prendre le moins de risques possible et à choisir, par habitude, ce que les autres ont choisi - et c'est en partie pourquoi 80 % des achats de l'État en numérique se font auprès d'acteurs américains »^274(*).

Les entreprises rencontrées ont également indiqué que les appels d'offres, quand ils existent, sont fréquemment orientés vers les géants américains, appels d'offres « qui ne sont pas toujours rédigés par les donneurs d'ordre eux-mêmes, qui n'en ont pas la compétence, mais peuvent être sous-traités à une ESN, comme Capgemini, Sopra Steria ou encore Atos, qui peuvent avoir un intérêt à privilégier des fournisseurs avec qui ils travaillent déjà »^275(*). En somme, pour M. Jean-Noël de Galzain, président d'Hexatrust, pour les entreprises innovantes françaises et européennes, « il y a un plafond de verre, c'est la commande publique »^276(*).

S'agissant des garanties de protection des données de santé hébergées par Microsoft, la commission d'enquête a observé des positions à tout le moins contradictoires.

D'une part, la PDS a, à maintes reprises, affirmé que la plateforme technologique est hautement sécurisée, sur la base d'audits indépendants, réalisés y compris par l'Agence nationale de la sécurité des systèmes d'information (Anssi), en 2021. Si Mme Stéphanie Combes, directrice de la plateforme des données de santé, a par ailleurs indiqué que la plateforme avait été élaborée « dans une logique pragmatique », elle rappelait également que le choix d'hébergement « a été conçu dès l'origine comme réversible, tant sur le plan technique que contractuel, afin de permettre une migration future vers des solutions souveraines, à mesure que le marché français du cloud monterait en compétence »^277(*). De même, la directrice a indiqué que l'application des législations extraterritoriales aux données hébergées par la solution Azure était jugée « peu crédible », expliquant selon elle le rejet, par le Conseil d'État, de plusieurs recours à ce sujet. Dans une de ces décisions, le Conseil d'État indique en effet qu' » il n'apparaît pas, en l'état de l'instruction, que des données à caractère personnel du système de santé puissent à ce jour faire l'objet de transferts en dehors de l'Union européenne en application du contrat conclu entre la plateforme des données de santé et Microsoft ». La commission d'enquête souligne néanmoins que le Conseil d'État note, s'agissant des autres catégories de données, « qu'il ne peut être totalement exclu, sur le plan technique, que Microsoft soit amenée à faire droit à une demande des autorités américaines fondée sur l'article 702 du FISA »^278(*).

D'autre part, la même année, la direction interministérielle du numérique (Dinum) juge, dans son avis sur la PDS, la stratégie de réversibilité de l'hébergement de la plateforme chez Microsoft « incomplète et ne permettant pas d'établir un plan d'actions clair de nature à rassurer sur la capacité du HDH à être transféré vers un autre acteur du cloud offrant un panel de services similaires »^279(*), laissant craindre une forme de dépendance de la plateforme à une entreprise étrangère. Face à ce constat, la Dinum demande à ce que le plan de réversibilité soit finalisé et tenu à jour, et indique que « tout nouvel usage de services Azure Cloud non utilisés pour la première version devra être conditionné à son niveau de réversibilité et à la non remise en cause du cahier des charges des futurs services Cloud qui aura été établi ».

Dans sa délibération du 20 avril 2020 portant avis sur un projet d'arrêté prévoyant, dans le contexte de la crise de la covid-19, le regroupement de certaines données de santé sur la PDS à des fins de gestion de l'urgence sanitaire, la commission nationale de l'informatique et des libertés (Cnil) a également été amenée à examiner les conditions d'hébergement des données de la plateforme^280(*). Elle note à cet égard que si « la plateforme des données de santé exige de son hébergeur que les données « au repos » soient hébergées au sein de l'Union européenne [...], la localisation ne s'applique qu'aux données « au repos », alors même que le contrat mentionne l'existence de transferts de données en dehors de l'Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d'incident »^281(*). La Cnil demande, en conséquence « qu'une vigilance particulière soit accordée aux conditions de conservation et aux modalités d'accès aux données » et recommande « que la plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l'Union européenne »^282(*). Du reste, et comme développé dans la troisième partie de ce rapport, un hébergement des données sur le territoire européen ne constitue pas une garantie suffisante vis-à-vis du risque de fuite de données dès lors que l'hébergeur est soumis, comme l'est l'entreprise Microsoft, aux effets des lois extraterritoriales telles que le Foreign Intelligence Surveillance Act (Fisa) ou le Cloud Act.

Pour la commission d'enquête, la plateforme des données de santé est l'exemple même de la lente prise de conscience de l'État vis-à-vis des enjeux de souveraineté numérique, mais également de son manque de volonté politique pour opérer un revirement rapide de prestataire en capacité de protéger ses intérêts.

En effet, en 2020, lors du lancement de la plateforme, l'ensemble des acteurs concernés ont semblé faire état d'une grande naïveté au sujet des enjeux de l'hébergement de données sensibles chez des acteurs extra-européens, en dépit des premières alertes venues de la Cour de justice de l'Union européenne rappelées précédemment. Interrogé par notre collègue Mme Catherine Morin-Desailly sur le choix de la solution Azure de Microsoft pour l'hébergement de données à caractère hautement sensible, le ministre de la Santé d'alors, M. Olivier Véran, indique que Microsoft « est considéré dans son entité gestionnaire des données de santé françaises, comme une entité européenne, même si le groupe est américain »^283(*), déclaration étonnante au vu des observations de la Dinum et de la Cnil mentionnées ci-avant. Pour Mme Stéphanie Schaer, directrice interministérielle du numérique, « les questions qui se sont posées sur le HDH ont sans doute contribué à définir plus précisément au travers de la doctrine ce qu'il fallait attendre de l'hébergement en cloud »^284(*).

Après avoir négligé les enjeux de souveraineté de l'hébergement des données, le Gouvernement a développé un discours proactif en matière de Cloud souverain sans pour autant garantir, dans les faits, une migration des données publiques vers des solutions sécurisées. De fait, dès 2021, le ministère de l'économie et des finances présente une stratégie nationale pour le Cloud visant à « faire émerger une alternative technologique française et européenne, qui fasse de la France une puissance économique et souveraine du Cloud » et à « développer une politique industrielle du Cloud »^285(*).

Pourtant, si le Gouvernement affirmait alors clairement que « le Cloud présente des enjeux de souveraineté indéniable » appelant à « ne plus faire preuve de naïveté » face à une situation de domination du marché par des acteurs étrangers, et ce « d'autant plus que les acteurs internationaux du Cloud sont soumis à des lois à portée extraterritoriale qui pourraient exposer des citoyens, des administrations et des entreprises à un risque important de captation », il n'a alors nullement été question d'engager une migration de l'hébergement de la PDS vers une solution souveraine, malgré une pleine conscience des enjeux de sécurité des données hébergées.

Plus récemment, et concomitamment au renforcement de la doctrine de la France en matière de sécurité et de souveraineté numérique, détaillée dans la troisième partie du présent rapport, une prise de conscience semble avoir émergé chez les acteurs gouvernementaux, notamment à la suite d'un rapport remis le 5 décembre 2023^286(*) aux ministres de l'Économie, des finances et de la souveraineté industrielle et numérique, de l'enseignement supérieur et de la recherche et de la santé, préconisant de programmer l'arrêt de l'hébergement sur Azure de la plateforme des données de santé et de lancer les travaux pour l'hébergement de la plateforme sur un cloud SecNumCloud, à horizon de 24 mois.

Les responsables de la Plateforme de données de santé ont ainsi indiqué leur souhait de migrer les données vers une offre d'hébergement souveraine, « dès que les entreprises auront atteint le niveau de maturité requis »^287(*), projet inscrit dans sa feuille de route triennale 2022-2025.

Cette évolution est également guidée par l'obligation de tenir compte de « l'entrée en vigueur prochaine de ce nouveau cadre, et en particulier de l'introduction du critère SecNumCloud, qui marque une évolution importante par rapport aux exigences antérieures »^288(*). De fait, la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi Sren, dont le décret d'application devrait, selon le Gouvernement, paraître dans les prochains mois, encadre strictement le recours des autorités publiques aux prestations d'informatique en nuage, en conditionnant ces prestations à une protection complète des données hébergées. La commission d'enquête souligne d'ailleurs à cet égard son incompréhension face à l'absence de publication de ce décret, attendu depuis plus d'un an, alors qu'il semble urgent d'activer tous les leviers en mesure de garantir la protection des données françaises.

Les responsables de la plateforme ont, dans ce cadre, initié une nouvelle étude comparative des solutions d'hébergement existantes, préalablement à la passation d'un marché visant à la sélection d'un prestataire pour une « solution intercalaire souveraine »^289(*) dans l'attente d'un projet d'hébergement souverain définitif. Une procédure de mise en concurrence, sous la forme d'une procédure avec négociation,pour la sélection de cette solution intercalaire a été lancée etpubliéele 1^er juillet 2025, l'avis de publicité mentionnant qu'elle aurait vocation à être utilisée sur une durée maximale de 48 mois à compter du 15 janvier 2026 et plafonnant ce marché à 6,2 millions d'euros HT sur cette durée, ou 4,3 millions d'euros HT sur sa durée initiale de deux ans.

La commission d'enquête a d'ailleurs relevé que l'étude comparative commandée par la plateforme des données de santé au cabinet B2Cloud en 2022, à laquelle elle a pu avoir accès, recensait une offre française parmi les trois solutions cloud les plus performantes, notamment sur le volet sécurité.

Toutefois, en dépit de l'inscription de l'objectif de migration vers une solution souveraine dans la feuille de route triennale 2022-2025, force est de constater, à la mi-2025, qu'une telle migration semble encore lointaine, et qu'elle supposera des coûts très importants, qui auraient pu être évités si l'impératif souverain avait été intégré dès le lancement du projet de PDS. La plateforme des données de santé a néanmoins indiqué « s'engager depuis plusieurs années dans des coopérations avec Outscale, Scaleway, OVH, Adista, veillant à recourir - dans le respect du code de la commande publique - à des services souverains pour tous les systèmes d'information et outils qu'elle gère et dont le niveau de sécurité attendu n'est pas aussi élevé que pour la plateforme elle-même »^290(*).

Pour la commission d'enquête, l'hébergement depuis plus de six ans, des données de santé chez Microsoft Azure, solution dont les spécialistes s'accordent à affirmer qu'elle présente des vulnérabilités, met en lumière les profondes contradictions de l'État qui, d'une part, n'a cessé d'étoffer sa doctrine sur la souveraineté numérique des données et, d'autre part, semble incapable de mettre en oeuvre cet impératif crucial dans ses propres achats publics. Une fois de plus, la commission d'enquête souligne que cet immobilisme n'est pas sans conséquence sur le retard constaté dans l'émergence de champions technologiques français et européens dans le domaine du cloud, capables de lutter à armes égales avec leurs concurrents américains.

Elle déplore enfin le constat d'un véritable manque de volonté politique pour assurer la souveraineté des données publiques : alors que Mme Agnès Buzyn a rappelé que « le marché [d'hébergement] a été renouvelé tous les deux ans, et [que] mes successeurs ont, à ma connaissance, rencontré les mêmes difficultés », preuve selon elle « [qu'il n'est pas] encore possible de les confier à un autre hébergeur »^291(*), cette inertie relève avant tout, selon la commission d'enquête, d'un immobilisme inquiétant des plus hauts responsables de l'État au cours des dernières à l'égard des risques en matière de souveraineté des données, qui semblent désormais découvrir l'urgence de la situation. Signe de cette prise de conscience tardive, Éric Lombard, ministre de l'Économie, des Finances et de la Souveraineté industrielle et numérique, affirmait devant la commission d'enquête que « le monde a changé depuis le 10 janvier dernier, ce n'est pas anodin et affecte la façon dont nous concevons les menaces sur notre souveraineté »^292(*) - or, pour la commission d'enquête, de telles menaces pouvaient être anticipées depuis plusieurs années déjà.

Au mois de mai 2021, l'un de ses prédécesseurs affirmait déjà, à l'occasion du lancement de la stratégie nationale pour le cloud : « Chaque produit numérique manipulant des données sensibles, qu'elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises ou d'applications métiers relatives aux agents publics de l'État, devra impérativement être hébergé sur le cloud interne de l'État ou sur un cloud industriel qualifié SecNumCloud par l'Anssi et protégé contre toute réglementation extracommunautaire. »^293(*)

Dès lors, et de manière urgence, la commission d'enquête exige le transfert de l'hébergement de la plateforme des données de santé sur une solution souveraine, immune aux législations extraterritoriales, conformément à l'article 31 de la loi dite Sren.

Recommandation n° 16. - Transférer dans les meilleurs délais l'hébergement de la plateforme des données de santé, dite Health Data Hub, sur une solution souveraine, immune aux législations extraterritoriales, conformément à l'article 31 de la loi Sren.

c) Gestion de la plateforme Place : l'État récidive

Le même constat semble malheureusement pouvoir être formulé à l'égard de la décision récente de l'Agence pour l'information financière de l'État (AIFE) de retenir la société canadienne CGI pour la gestion technique de la plateforme Place, plateforme de dématérialisation des procédures de marchés publics de l'État.

En effet, depuis 2008, des appels d'offres avaient successivement attribué à l'éditeur français Atexo l'appui à maîtrise d'oeuvre de la plateforme, notamment afin de gérer les fonctionnalités du logiciel en matière de sécurité. Ces prestations techniques sont capitales pour le bon fonctionnement de la plateforme, utilisée par 2 400 services acheteurs pour 39 400 consultations par an concernant des marchés de plus de 40 000 euros HT^294(*).

Or, en 2024, alors que le marché conclu avec l'entreprise française arrivait à son terme, l'AIFE a fait le choix - difficilement compréhensible pour la commission d'enquête - de ne pas relancer d'appel d'offres pour cette prestation mais de recourir à une solution contractuelle proposée par l'Union des groupements d'achats publics (Ugap), attribuée à la filiale française de l'entreprise canadienne CGI. Selon la DAE, ce changement de procédure de sélection du prestataire est motivé par le besoin de procéder à des évolutions techniques de la plateforme rendues nécessaires par l'ouverture de Place à de nouveaux acheteurs publics consécutivement à l'adoption éventuelle de l'article 4 du projet de loi de simplification de la vie économique.

Si l'AIFE a indiqué que le recours à CGI pour la maintenance de la plateforme devrait constituer une solution temporaire, avant le lancement d'un nouvel appel d'offres, force est de constater que cette opération témoigne encore une fois de contradictions profondes et alarmantes dans la conduite des marchés publics de l'État.

Le choix de ne pas recourir à un appel d'offres pour des prestations jusqu'alors attribuées à une PME française, en privilégiant une procédure plus rapide par le recours à l'Ugap, apparaît en effet en décalage avec la doctrine de soutien aux TPE et PME françaises et européennes développée par le ministère de l'économie et des finances depuis plus de dix ans. Le recours à une entreprise étrangère pour la gestion technique d'une plateforme hébergeant des données aussi sensibles et stratégiques parait tout aussi incohérent et rappelle, tristement, les erreurs soulignées ci-avant concernant l'hébergement de la plateforme des données de santé. De fait, la plateforme Place héberge des procédures de passation de marchés particulièrement sensibles, notamment du ministère des armées ou de la santé, et les offres déposées par les entreprises candidates à ces procédures, qui doivent faire l'objet de garanties de protection maximales, y compris face au risque existant en matière d'intelligence économique.

Interrogé par le député M. Alexandre Sabatou (Oise - Rassemblement national) lors d'une séance de questions au Gouvernement, Laurent Saint-Martin, alors ministre du budget et des comptes publics, indiquait que « la filiale française de CGI, à qui le marché a été confié, n'aura accès à aucune information confidentielle, comme c'était d'ailleurs le cas d'Atexo depuis 2020. »^295(*) Une telle déclaration souligne une incompréhension ou, à tout le moins, un détachement inacceptable concernant les enjeux de sécurisation des données, et laisse à penser que l'État n'a toujours pas pris la mesure du besoin de dresser un cap intangible en matière de commande publique, tant en assurant le non-contournement de procédures pouvant bénéficier aux entreprises innovantes françaises et européennes, qu'en garantissant la sécurité et la souveraineté de données publiques sensibles et stratégiques contenues dans ces marchés.

2. La réforme des e-Forms : la complexité des normes européennes et les difficultés de l'État dans l'accompagnement des acheteurs

La commission d'enquête a par ailleurs observé des effets pervers de l'adoption de certaines normes au niveau européen sans tenir compte des effets concrets engendrés dans le quotidien des acheteurs. La réforme des modalités de publication en ligne des consultations, entreprise depuis 2019, semble ainsi illustrer cette complexité issue du droit européen et dont l'État peine à contenir les effets.

Le 23 septembre 2019, la Commission européenne a adopté le règlement d'exécution 2019/1780/UE établissant de nouveaux formulaires types - dits e-Forms - pour la publication d'avis dans le cadre de la passation de marchés publics et abrogeant le règlement d'exécution (UE) 2015/1986.

Ce faisant, les 25 formulaires standards instaurés en 2015 ont été remplacés par 40 nouveaux formulaires électroniques, avec comme objectif de garantir une meilleure efficacité de la publicité des contrats publics dans le cadre de la dématérialisation des offres. La réforme portait également l'ambition de générer ces formulaires de manière automatique au moyen d'informations figurant dans des avis antérieurs.

La mise en oeuvre de cette réforme s'est heurtée à des difficultés sérieuses, en dépit de la mise à disposition par la Commission européenne d'un kit de développement « e-Form Software Development Kit (SDK) ».

Les nouveaux formulaires étant plus nombreux et prévoyant des champs à compléter également plus précis et nombreux, leur adoption a premièrement engendré des difficultés pratiques dans les usages des profils d'acheteur. Les éléments de développement fournis par la Commission ont à cet égard été jugés peu exploitables, instables et lacunaires, ne permettant pas une véritable appropriation par les éditeurs de plateforme de publication en France. Selon la DAJ, « ces difficultés ont été aggravées par des délais importants de réponse du service de support de l'office des publications de l'Union européenne »^296(*).

Au fait des difficultés rencontrées par de nombreux éditeurs de solutions privées, les autorités françaises ont sollicité un report d'entrée en vigueur des nouveaux formulaires, auquel la Commission a consenti, la mise en oeuvre ayant ainsi été reportée du 15 octobre 2023 au 31 janvier 2024.

Même après ce délai, le service de bulletin officiel des annonces des marchés publics (BOAMP) a reconnu des dysfonctionnements dans la publication des marchés par les nouveaux formulaires e-Forms, constatant des anomalies dans les outils de saisie des formulaires ayant conduit à des rejets de publication parfois dans des proportions importantes, pénalisant ainsi la diffusion des avis de certains acheteurs.

Si la plupart des éditeurs français ont finalement pu respecter ce délai, la DAJ note un léger recul des chiffres de publication d'avis de publicité européen en 2024 vis-à-vis des années antérieures : alors que l'on recensait 82 418 avis publiés en 2022, ce chiffre tombe à 79 112 en 2024, pouvant révéler des difficultés de publication de certains pouvoirs adjudicateurs.

Les fonctionnalités de cette publicité étant actualisées chaque année, les éditeurs de plateformes sont par ailleurs contraints de procéder à une mise à jour au moins annuelle de leurs systèmes d'informations, ce qui suppose une charge démesurée pour ces plateformes. La DAJ a indiqué « être très mobilisée pour obtenir des interlocuteurs européens une stabilisation et une simplification des avis de publicité européens » mais demeure dans les faits peu en capacité de proposer de véritables mesures de simplification aux acheteurs publics.

La DAJ indique avoir « obtenu de la Commission européenne un cadre de gouvernance des e-Forms, afin de fixer des limites à l'instabilité du SDK, restreindre l'adjonction de nouveaux champs pour limiter la charge administrative qu'ils imposent aux acheteurs au stade de l'avis de publicité »^297(*).

C'est M. Jean-Marc Joannès, rédacteur en chef d'achatpublic.info, qui a le mieux résumé l'impact de la mise en oeuvre ratée des e-Forms, qui s'apparente à une catastrophe industrielle : « un drame d'autant plus douloureusement ressenti qu'il reste incompris »^298(*). Il estime que cette « très mauvaise expérience » a contribué à « décrédibiliser la commande publique »^299(*). La commission d'enquête partage son point de vue.

L'Association des acheteurs publics (AAP) dresse également un constat d'échec : selon elle, « Plus d'un an après, le système est toujours défaillant : la saisine des avis de publicité est plus longue, plus abstraite et certains profils d'acheteurs n'offrent toujours pas une solution fiabilisée et stabilisée pour remplir les e-Forms »^300(*). Il a fallu aux acheteurs publics démontrer leur agilité et leur ingéniosité, alors qu'ils n'ont plus été en mesure de lancer des appels d'offres et ont dû « se débrouiller sans aucune aide pour sortir de cette impasse »^301(*).

Il reviendra au Parlement de suivre attentivement la stabilisation de la mise en oeuvre de cette réforme, et au Gouvernement de garantir un accompagnement méticuleux des éditeurs comme des acheteurs publics afin de garantir une mise en conformité facilitée avec ces nouvelles exigences, tout en permettant aux acheteurs de conduire leurs appels d'offres sans cette complexité procédurale superflue.

3. Le défaut de pilotage des marchés stratégiques : l'exemple des masques

L'approvisionnement en masques au cours de la crise sanitaire illustre les écueils dans le pilotage des marchés d'approvisionnement stratégiques en France, ainsi que les conséquences néfastes d'achats conclus dans l'urgence.

L'inconséquence de l'État est à l'origine des difficultés rencontrées à l'époque. Alors que les capacités de production nationale avaient été renforcées à l'occasion de la grippe H1N1, en 2009, et que des engagements de commande^302(*) avaient été pris dès 2005 envers un fournisseur en capacité de produire 180 millions de masques FFP2 par an, ceux-ci n'ont pas été tenus après 2010, entraînant une chute des commandes qui a largement contribué, en 2018, à la fermeture de cette usine située à Plaintel (Côtes-d'Armor).

De ce fait, Santé publique France, chargée, en sa qualité d'agence sanitaire, de constituer un stock stratégique de masques FFP2 et chirurgicaux et de procéder à leur distribution en cas de crise épidémique sous l'égide du ministère chargé de la santé, a rencontré des difficultés critiques d'approvisionnement en équipements de protection individuelle (EPI) en 2020, en raison d'une impréparation globale face à une crise sanitaire d'une ampleur et d'une progression inédites, ayant conduit à la passation de marchés sous-optimaux.

Pour rappel, selon la Cour des comptes, en 2020, SPF a passé 38 marchés pour l'acquisition de masques FFP2 et chirurgicaux, pour un montant total d'engagements de 2 952 millions d'euros^303(*). Ces marchés ont été réalisés sous le régime de la procédure d'urgence impérieuse, sans publicité ni mise en concurrence^304(*).

- Dans un premier temps, les commandes de masques ont été assurées par un pont aérien entre la Chine et la France, auquel ont participé treize fournisseurs qui n'étaient pas, eux-mêmes, fabricants de masques mais s'approvisionnaient auprès d'une diversité de producteurs. Au total, le pont aérien a permis l'acheminement de 500 millions de masques chirurgicaux et 110 millions de masques FFP2, destinés aux personnels soignants. Le caractère urgent de l'approvisionnement en EPI a même conduit SPS a contracté avec trois entreprises pouvant s'approvisionner en Chine pour l'achat de masques, de matériels médicaux et de médicaments (LVMH^305(*), L'Oréal^306(*), Sanofi^307(*)). Comme l'observe la Cour des comptes, la sensibilité juridique des conditions contractuelles de ces marchés a conduit le ministre à signer les lettres de saisine en personne.

- La direction des achats de l'État a par la suite complété ces premiers achats afin de mettre à disposition des agents de l'État relevant des ministères de l'économie et des finances, de la justice et de l'éducation nationale des EPI. L'objectif de cette commande était de pallier le besoin des ministères, le temps que l'UGAP soit en mesure de proposer des solutions alternatives. Les trois marchés interministériels conclus dans ce cadre (4,24 millions de masques chirurgicaux) ont été passés auprès de deux prestataires français disposant d'acheteurs en Chine^308(*).

- Après le confinement, SPF a également passé des commandes de masques s'élevant à 61 millions d'euros entre le 17 et le 20 juillet, puis à 156 millions d'euros du 31 juillet au 11 décembre 2020, en émettant des bons de commande sur les marchés déjà existants.

La commission d'enquête sénatoriale ayant réalisé l'évaluation des procédures d'approvisionnement en EPI à compter de mars 2020 a notamment mis en lumière les défaillances de l'État dans la gestion de ces procédures d'achat d'urgence, en relevant premièrement que la mauvaise coordination entre Santé publique France et la direction générale de la Santé avait induit de lourds retards dans la passation des marchés ainsi que dans la livraison des fournitures^309(*).

En outre, les travaux de la commission soulignent que le recours à des achats extra-européens, a fortiori chinois, a exposé la France à des vulnérabilités largement évitables si une filière stratégique avait été structurée en amont à l'échelle européenne. En effet, la commission a noté des délais supérieurs de livraison en raison de « changements soudains de réglementation à l'export en Chine, intervenus début avril », ainsi qu'à « des commandes signées mais réorientées brutalement vers des acheteurs proposant un prix plus élevé ».

Par ailleurs, ces importations massives de masques produits en Chine tout au long de la crise sanitaire ont eu pour conséquence de faire échouer les tentatives de rebâtir une filière de production souveraine française. D'importants investissements avaient été consentis en 2020 et 2021, notamment en Bretagne, pour développer une capacité de production autonome, capable de rompre la dépendance de la France en matière d'EPI envers des fournisseurs étrangers. En faisant primer dans ses appels d'offres le prix sur de telles considérations, pourtant essentielles, l'État et ses opérateurs comme SPF ont, par leur incohérence, mis les entreprises en question dans l'incapacité d'atteindre la rentabilité et les ont condamnées à la fermeture, comme l'illustrent les exemples successifs de la Coop des masques en 2022 ou Klap en 2025, toutes deux situées dans les Côtes-d'Armor.

Dans un rapport évaluant les achats de SPF au cours de la crise pandémique, SPF relève également le taux important de masques en provenance de Chine ne répondant pas aux exigences de qualité ou présentant de faux marquages de qualité, représentant environ 30 % des commandes reçues, soit 80 millions d'euros^310(*). Ces défaillances ont conduit à la destruction de nombreuses livraisons, notamment à destination d'enseignants ou de soignants.

Outre des retards d'acheminement très marqués (sur 664 millions de masques commandés, seuls 314 millions avaient été réceptionnés en France en mai 2020, soit moins de la moitié) la Cour des comptes note également que ces choix d'approvisionnement ont conduit à d'occasionnels surcoûts.

Ces commandes, tardives et massives, au coeur de la crise sanitaire, ont par ailleurs conduit à l'accumulation d'un stock important de masques d'origine asiatique, dont la péremption devait intervenir en 2022. Certains ont finalement été distribués, à compter de janvier 2022, aux agents du ministère de l'éducation nationale, conformément à l'évolution de la doctrine sanitaire en la matière. Les enseignants constatèrent néanmoins l'origine chinoise des masques, en décalage avec les annonces gouvernementales en faveur de la structuration d'une filière française de production de masques, ainsi que leur délai très restreint d'utilisation, la péremption rapide de ces fournitures ayant conduit ensuite à la destruction d'une part significative du stock du ministère.

À titre de comparaison, le ministère chargé de la santé a pu élaborer une véritable doctrine de l'achat souverain de masques sanitaires chirurgicaux et FFP2 et de gants.

L'instruction n° DGOS/PF/PHARE/2021/254 du 15 décembre 2021 du ministre des solidarités et de la santé à l'attention des directeurs généraux des agences régionales de santé, reconnaissant « la dépendance aux matières premières asiatiques (...), les problèmes de qualité d'équipements, de durée de péremption, des délais de livraison erratiques et une exposition à de très fortes hausses de prix difficiles à maîtriser », rappelait que le cadre juridique européen permet de favoriser l'émergence de filières de production de masques sanitaires en Europe, et préconisait pour ce faire de mobiliser les leviers juridiques visant à :

- « exiger la réalisation en Europe d'une partie de la production pour assurer la sécurité d'approvisionnements stratégiques pour le bon fonctionnement du système de santé » ;

- « insérer des clauses et conditions d'exécution de performance et protectrices de l'environnement, et prévoir un critère de choix associé qui soit significativement pondéré » ;

- « faire du respect des normes de qualité des équipements une condition de recevabilité des offres et pondérer fortement le critère de la valeur technique pour l'attribution du marché, tout en réduisant symétriquement le poids du critère financier » ;

- « prévoir des pénalités financières lourdes en cas de dégradation significative de la qualité des fournitures ou des conditions de livraison des commandes passées ».

L'instruction demandait également :

- à ce que les cahiers des charges d'appels d'offres abordent systématiquement les aspects de qualité des équipements, des processus de production, des processus logistiques, et les impacts environnementaux et sociétaux des produits ;

- à ce que les critères de qualité technique et logistiques soient tous deux pondérés au minimum à 30 %, que le critère de qualité environnementale et sociétale soit pondéré au minimum à 15 % et que la pondération du critère relatif aux conditions financières et au prix ne dépasse pas 25 % ;

- le recours à la clause d'implantation européenne des moyens de production et des matières premières critiques (notamment le meltblown pour les masques), prévue à l'article L. 2112-4 du code de la commande publique.

Enfin et surtout, l'instruction introduisait le principe de compensation des surcoûts des achats réalisés par les établissements dans le cadre de ce dispositif, en précisant que la compensation serait intégrée à la construction de l'objectif national de dépenses d'assurance maladie (ONDAM). Ce mécanisme a ainsi permis de couvrir la différence financière induite par l'application de l'instruction par rapport à un processus d'achat classique. Un dispositif similaire a par la suite été prévu pour l'achat de poches de perfusion^311(*).

Selon les documents transmis par la direction générale de l'offre de soins (DGOS), le mécanisme de compensation représente, pour l'année 2024, un montant de 2 millions à 3 millions d'euros pour les masques chirurgicaux, et de 18 millions à 23 millions d'euros pour les trois catégories d'achat couvertes (gants, masques, poches de perfusion).

Prévision de la DGOS relative aux surcoûts liés au mécanisme de compensation pour l'achat souverain de fournitures essentielles

Produit	Achats 2024 (collecte 2025)	Achats 2025 (collecte 2026)	Achats 2026 (collecte 2027)
Gants	10 millions	14 millions	14 millions
Masques (chirurgicaux et FFP2)	2-3 millions	3 - 6 millions	4 - 7 millions
Poches de perfusion	6-10 millions	12 - 17 millions	12 - 17 millions
Total	18-23 millions	29 - 37 millions	30 - 38 millions

en euros

Source : réponse de la DGOS au questionnaire de la commission d'enquête.

En somme, exception faite de l'initiative exemplaire de la DGOS en matière d'approvisionnement souverain, le défaut d'anticipation dans l'établissement de la doctrine d'approvisionnement de fournitures stratégiques a conduit à une mise en oeuvre très perfectible de l'approvisionnement d'urgence au cours de la crise sanitaire, n'ayant pas permis de structurer durablement des filières d'achat et de production vertueuse sur le sol européen. La commission d'enquête appelle donc, pour les actifs stratégiques de l'État français, à l'identification de fournisseurs européens disponibles ou en voie de structuration afin d'anticiper d'éventuelles procédures d'urgence en cas de besoins non anticipés ou de ruptures d'approvisionnement, et ainsi garantir la résilience des actifs français.

* ²⁴⁹ Audition de M. Cosimo Prete devant la commission d'enquête le 29 avril 2025.

* ²⁵⁰ Réponse d'IN Groupe au questionnaire de la commission d'enquête.

* ²⁵¹ Audition de M. Cosimo Prete devant la commission d'enquête le 29 avril 2025.

* ²⁵² Article 41 de la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé.

* ²⁵³ Donner un sens à l'intelligence artificielle, pour une stratégie nationale et européenne, Cédric Villani, 28 mars 2018.

* ²⁵⁴ CJUE 6 oct. 2015, aff. C-362/14.

* ²⁵⁵ CJUE 16 juillet 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18.

* ²⁵⁶ Respect de la vie privée et familiale.

* ²⁵⁷ Protection des données à caractère personnel.

* ²⁵⁸ Audition de M. Alain Juillet, ancien Haut responsable chargé de l'intelligence économique, le 8 avril 2025.

* ²⁵⁹ Audition du 10 juin 2025.

* ²⁶⁰ Audition de Mme Agnès Buzyn, ancienne ministre des Solidarités et de la Santé, devant la commission d'enquête le 10 juin 2025.

* ²⁶¹ Direction de la recherche, des études, de l'évaluation et des statistiques

* ²⁶² Réponse de la plateforme des données de santé au questionnaire de la commission d'enquête.

* ²⁶³ Figurant en annexe du rapport.

* ²⁶⁴ Réponse de la plateforme des données de santé au questionnaire de la commission d'enquête.

* ²⁶⁵ Ibid.

* ²⁶⁶ Audition du 28 mai 2025.

* ²⁶⁷ Audition de M. Cédric O, ancien secrétaire d'État chargé du numérique, devant la commission d'enquête, le 10 juin 2025.

* ²⁶⁸ Audition de Mme Agnès Buzyn devant la commission d'enquête le 10 juin 2025.

* ²⁶⁹ Ibid.

* ²⁷⁰ Ibid.

* ²⁷¹ Audition du 29 avril 2025.

* ²⁷² Ibid.

* ²⁷³ Propos de M. Jérôme Lecat, audition du 29 avril 2025.

* ²⁷⁴ Ibid.

* ²⁷⁵ Ibid.

* ²⁷⁶ Audition du 29 avril 2025.

* ²⁷⁷ Audition du 14 mai 2025.

* ²⁷⁸ Conseil d'État, Juge des référés, 13 octobre 2020, 444937.

* ²⁷⁹ Avis de la direction interministérielle du numérique en date du 10 novembre 2020 à Madame Stéphanie Combes, directrice générale du GIP plateforme des données de santé.

* ²⁸⁰ Délibération n°2020-044 du 20 avril 2020 portant avis sur un projet d'arrêté complétant l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire.

* ²⁸¹ Ibid.

* ²⁸² Ibid.

* ²⁸³ Question d'actualité au Gouvernement posée en séance publique le 16 juillet 2020.

* ²⁸⁴ Audition du 6 mai 2025.

* ²⁸⁵ Dossier de presse de la stratégie nationale pour le Cloud « Soutenir l'innovation dans le Cloud », 2 novembre 2021.

* ²⁸⁶ Fédérer les acteurs de l'écosystème pour libérer l'utilisation secondaire des données de santé, Rapport de M. Jérôme Marchand-Arvier, Pr Stéphanie Allassonniere, M. Aymeric Hoang et Dr Anne-Sophie Jannot, remis le 5 décembre 2023.

* ²⁸⁷ Contribution écrite de la plateforme des données de santé.

* ²⁸⁸ Audition de Mme Stéphanie Combes, directrice de la plateforme des données de santé, devant la commission d'enquête le 14 mai 2025.

* ²⁸⁹ Contribution écrite de la plateforme des données de santé.

* ²⁹⁰ Ibid.

* ²⁹¹ Audition de Mme Agnès Buzyn devant la commission d'enquête le 10 juin 2025.

* ²⁹² Audition de M. Éric Lombard, ministre de l'économie, des finances et de la souveraineté industrielle et numérique devant la commission d'enquête, le 11 juin 2025.

* ²⁹³ Dossier de presse du 17 mai 2021 relatif à la stratégie nationale pour le cloud, p. 10.

* ²⁹⁴ Données de la DAE pour l'année 2024.

* ²⁹⁵ Réponse du ministre du budget et des comptes publics à la question au Gouvernement n° 251 de M. Alexandre Sabatou, 4 décembre 2024.

* ²⁹⁶ Réponse de de la direction des affaires juridiques au questionnaire de la commission d'enquête.

* ²⁹⁷ Ibid.

* ²⁹⁸ Réponse de M. Jean-Marc Joannès au questionnaire de la commission d'enquête.

* ²⁹⁹ Ibid.

* ³⁰⁰ Réponse de l'Association des acheteurs publics au questionnaire de la commission d'enquête.

* ³⁰¹ Ibid.

* ³⁰² Protocole d'accord du 26 décembre 2005 conclu entre le ministère de la santé et des solidarités et l'entreprise Bacou-Dalloz.

* ³⁰³ Rapport d'observation sur les achats liés à la crise sanitaire financés par les dotations exceptionnelles de l'assurance maladie à Santé Publique France, Cour des comptes, 2021.

* ³⁰⁴ Article R. 2122-1 du code de la commande publique.

* ³⁰⁵ La Cour précise « marché sans contrepartie financière, l'entreprise achetant en Chine des masques et respirateurs pour les revendre à SPF au coût complet, y compris le transport, sans marge », dont les commandes ont atteint 27 millions d'euros.

* ³⁰⁶ Marché similaire dont la Cour indique que les commandes ont atteint 39 millions d'euros.

* ³⁰⁷ Montant de 14 millions d'euros.

* ³⁰⁸ Santé publique : pour un nouveau départ - Leçons de l'épidémie de covid-19 - Rapport n° 199 (2020-2021), tome I, déposé le 8 décembre 2020.

* ³⁰⁹ Ibid.

* ³¹⁰ Rapport d'observation sur les achats liés à la crise sanitaire financés par les dotations exceptionnelles de l'assurance maladie à Santé Publique France, Cour des comptes, 2021.

* ³¹¹ Instruction n° DGOS/PF/PHARE/2023/40 du 15 mars 2023.

Les thèmes associés à ce dossier

Partager cette page